Odidoに迫る究極の選択─サイバー攻撃で身代金支払いか拒否かの岐路

📦 この記事は旧 HARRO LIFE（https://harrojp.com/articles/250226-2）からの移行アーカイブです。

専門家が指摘する「二択」の現実

オランダの通信大手Odidoは、サイバー犯罪グループShinyHuntersから盗まれたデータを公開すると脅され、身代金を支払うか拒否するかの選択を迫られている。

サイバー犯罪の収益構造を研究するTU Delftの准教授ロルフ・ファン・ウェフベルフ（Rolf van Wegberg）氏は、「この種の事案では通常、まず非公開で交渉が行われる。それが失敗した場合、公的圧力をかける段階に進む」と説明する。今回の公開脅迫も、事前の交渉が決裂した結果である可能性が高いとみられている。

620万件の個人情報が影響

Odidoは先に、620万件のアカウントに関連する個人情報が侵害されたと発表した。流出対象には銀行口座番号、電話番号、身分証明情報などが含まれる。同社によれば、顧客対応システムに保存されていた個人データが対象であり、パスワード、通話記録、請求情報は含まれていないとしている。

しかしShinyHuntersは100万ユーロ超の身代金を要求し、木曜朝を支払期限としているとRTL Nieuwsが報じた。オディドは現時点で今後の対応や支払いの有無についてコメントしていない。

支払えば安全か、新たな火種か

ファン・ウェフベルフ氏によれば、仮に支払った場合でもデータが公開される可能性は「それほど高くない」という。「こうしたグループは通常、約束を守る。将来の攻撃における信用がかかっているためだ。経済的合理性が働く」と指摘する。

一方で支払いを拒否した場合、ShinyHuntersが一部データを公開したり、身代金をさらに引き上げたりする可能性もあるという。最悪の場合、ダークウェブ上でデータが全面公開され、多数の犯罪者に利用される恐れがある。

特に今回の漏えいには、氏名やメールアドレスだけでなく、旅券番号や銀行口座番号も含まれている点が深刻である。単一の情報漏えいでこれほど機微な情報が含まれるのは比較的まれであり、説得力の高いフィッシング詐欺の作成が容易になると警告している。

利用者への影響と支援策

大規模データ漏えいから約1週間半が経過した現在、顧客への補償が行われるかは不透明である。ただしOdidoは、2年間の無料セキュリティパッケージを提供すると発表した。同パッケージには、ウイルス対策などの追加保護が含まれるとしている。

また、数百人が身元詐欺通報センターに連絡を取っている。多くは不安を訴える相談であるが、すでに流出情報が悪用されたとする報告も一部あるという。同センターはこれらの申告の妥当性を調査する予定である。

【補足情報】ダークウェブとは、通常の検索エンジンではアクセスできない匿名性の高いネットワーク領域を指し、違法取引や流出データの売買に利用されることが多い。

参考