あるhacker 、世界中の「クライム・ストッパーズ」プログラムやその他の組織が使用するシステムを侵害したと主張したことを受け、数百万件に上る犯罪に関する情報提供が流出している可能性がある。
この件は、Navigate360が所有する、テキサス州に拠点を置くクラウド型情報提供・インテリジェンス管理ソフトウェアのプロバイダー、P3 Global Intelが中心となっている。
「Internet Yiff Machine」として知られるハクティビストたちは、盗んだデータをStraight Arrow News(SAN)に提供した。 SANによると、同グループはP3から盗まれたとされる830万件以上の記録を提供した。データは1987年から2025年までの期間にわたり、クライム・ストッパーズ(Crime Stoppers)プログラムや法執行機関、学校、および米国連邦政府の一部を通じて寄せられた犯罪情報も含まれているとされる。
SANは、記録に記載されていた情報提供者に連絡を取り、データセットの一部を確認したと述べた。リーク情報アーカイブ「Distributed Denial of Secrets(DDoSecrets)」も、同データのコピーを受け取ったとし、審査済みのジャーナリストや研究者と共有する予定だと明らかにした。
このデータが本物であれば、通報の対象となった個人に関する、氏名、住所、電話番号、生年月日、ナンバープレート、社会保障番号、その他の識別情報を含む広範な個人情報が含まれているようだ。通報者に対して「身元は常に匿名のまま」と約束する宣伝資料があるにもかかわらず、SANの報告によると、そのような情報を提供した一部の通報者の個人情報も、データセット全体に散見されるという。 また、このキャッシュには、ユーザーアカウントの詳細、カスタマーサポートへの問い合わせ、法執行機関の内部通達、および情報提供者が投稿の進捗を確認するために使用した暗号化されていないメッセージIDやパスワードも含まれているとされる。
P3の親会社であるNavigate360は、情報漏洩の事実やデータ流出の範囲については確認しなかった。SANへの声明の中で、Navigate360のCEOであるJP Guilbault氏は次のように述べた:
「現時点では、機密情報への不正アクセスや悪用があったことは確認されていません。」
しかし、同社はネットワーク上のインシデントの可能性を把握した後、外部のフォレンジック調査業者に依頼した。報道によると、調査が続く間もP3のシステムは稼働を続けているという。
法執行機関の対応を見る限り、技術的な確認が完全には得られていないにもかかわらず、少なくとも一部の利用者はこの事案を深刻なリスクとして捉えているようだ。「クライム・ストッパーズ」を利用しているポートランド警察局は、状況が調査中の間、同プラットフォームを通じた情報提供を「一時的に控える」よう市民に公に呼びかけている。
地元および全国メディアが報じた声明の中で、同局は、匿名の通報を収集するために利用されている第三者サービスにおいて、データ漏洩の可能性があるとの報告を把握しており、「万全を期すため」、当面の間、地域住民に対し同サービスの利用を控えるよう求めていると述べた。その代わり、ポートランド警察は、匿名ではない情報を提供したいと考えている人々に対し、同署に直接連絡するよう呼びかけている。
「匿名」は技術的な保証ではありません
SANによると、P3はウェブやモバイル経由で送信された通報情報からセッション情報を取得している可能性がある。もしそうであれば、悪意のある第三者がそのデータを利用して匿名の通報者を特定する可能性があり、「匿名」が技術的に保証されているわけではないことが浮き彫りになる。完全無欠な方法はないものの、専門家は犯罪を通報する際に以下の手順を推奨している:
- プライバシー保護を重視したブラウザと信頼できるVPNを使用して、実際のIPアドレスを隠しましょう。
- 「近所の人」「上司」「元恋人」など、あなた自身と結びつけられるような情報は記載しないでください。
- 通報フォームに連絡先情報の入力が求められる場合、その通報が匿名でなくなることに問題がないかどうか、よく検討してください。
- アップロードするファイル(写真、文書、動画)からメタデータを削除してください。これらのファイルには、GPS座標、デバイスID、タイムスタンプが含まれている可能性があるためです。
データが漏洩した場合の対処法
データ侵害の影響を受けたと考える場合、自身を守るために以下の手順を実行してください:
- 会社の指示を確認してください。各侵害事案は異なるため、会社に連絡して発生した内容を確認し、提供される具体的な指示に従ってください。
- パスワードを変更する。盗まれたパスワードは、変更することで窃盗犯に使えなくすることができます。他のことには使わない強力なパスワードを選びましょう。さらに良い方法は、パスワード・マネージャーにパスワードを選んでもらうことです。
- 二要素認証(2FA)を有効にしてください。可能であれば、第二要素としてFIDO2準拠のハードウェアキー、ノートパソコン、またはスマートフォンを使用してください。一部の2FA方式はパスワードと同様にフィッシング攻撃の標的となり得ますが、FIDO2デバイスに依存する2FAはフィッシング攻撃の対象になりません。
- なりすましに注意してください。詐欺師が侵害されたプラットフォームを装って連絡してくる可能性があります。被害者への連絡の有無は公式サイトで確認し、別の連絡手段で接触してきた人物の身元を必ず確認してください。
- 時間をかけましょう。フィッシング攻撃は、あなたが知っている人物やブランドになりすますことが多く、未配達、アカウントの停止、セキュリティ警告など、緊急の注意が必要なテーマが使われています。
- カード情報を保存しないことを検討してください。サイトにカード情報を記憶させる方が確かに便利ですが、小売業者が情報漏洩被害に遭った場合、リスクが高まります。
- 個人情報の不正取引をオンラインで検知した場合に通知し、事後の復旧を支援するアイデンティティ監視を設定してください。
私たちはプライバシーについて単に報告するだけでなく、それを活用する選択肢を提供します。
Privacy 出し以上の広がりを見せてはならない。オンラインプライバシーを守るには Malwarebytes Privacy VPNで守ってください。
