2023年09月16日

米大手カジノ シーザーズ、ハッカーに約22億円の身代金を支払う

米大手カジノ シーザーズ、ハッカーに約22億円の身代金を支払う

ざっくり言うと

  • シーザーズは、ハッキングにより6テラバイトのデータを窃取される
  • 盗まれたのは、顧客の運転免許証番号や社会保障番号などの超機密情報
  • シーザーズは、データの削除を条件に、ハッカーに約22億円の身代金を支払う

2023年9月14日、複数メディアの報道によると、ハッカー集団「スキャタード・スパイダー」(Scattered Spider)は、アメリカの大手カジノ シーザーズのシステムに侵入し、6テラバイトのデータを窃取したと犯行声明を出しました。

また、同日、シーザーズは、今月7日、多数のロイヤルティープログラム会員の個人情報がハッカーに窃取されたと当局に報告しています。盗まれた情報には、シーザーズのロイヤリティ・プログラム会員のかなりの数の運転免許証番号と社会保障番号が含まれているとのことです。

シーザーズは、搾取したデータを公開すると脅迫したハッカーに対し、データの削除を条件に、要求された3,000万ドルの半分、約22億円(1,500万ドル)の身代金を支払ったと報道されています。

また、シーザーズは、支払った身代金などの費用は、サイバーセキュリティ保険やその他の保険金で相殺される可能性があるとしています。

本件、現在も米連邦捜査局(FBI)の捜査が続いています。

 

 

◆ハッキングの手口

スキャッタード・スパイダーは、ランサムウェア集団ALPHVの分派であると考えられています。主にアメリカとイギリスの若者で構成されており、中には19歳の若いメンバーも含まれているとのことです。

今回、スキャッタード・スパイダーは、ソーシャル・エンジニアリングを使ったと報じられています。これは、マルウェアなどを用いずにパスワードなどの情報を盗み出す手法です。たとえば、情報システム部門の担当者をよそおって電話をかけ、システムにログインするためのIDとパスワードを聞き出すなどといった手口です。

ハッカーは、まずLinkedInにアクセスし、MGMの従業員を見つけます。その後、ネットなどでホテルのIT担当部門の電話番号を探し、SNSで見つけた名前を駆使して、パスワードの変更を要求します。本手口のポイントは、さまざまな言い訳を考えて、IT部門担当者に問い合わせをしているのが本人だと信じさせればいいだけの話です。

今回、ハッカーは、MGMの従業員とのわずか10分間の電話で、同社のシステムに侵入するのに十分な情報を得たと主張しています。

 

 

◆シーザーズの次の標的はMGM

スキャッタード・スパイダーは、MGMのシステムにも侵入し、企業メール、レストラン予約、ホテル予約、デジタルキーカードアクセスなど、同社のカジノとホテルのコンピューターシステムの一部を停止させました。また、スキャッタード・スパイダーは、MGMにも身代金を要求したと報じられています。現時点では、MGMのシステムからデータが流出したかどうか、MGMが身代金を支払ったかどうかは発表されていません。

MGMでは、ホテルのルームキーが使えなかったり、多くのスロットマシンがエラー表示で遊べない状態になっています。

MGMは、X(旧Twitter)に掲載したメッセージの中で、「個々のゲストのニーズに迅速に対応しながら、サイバーセキュリティの問題を解決するために真摯に取り組んでいる」とコメントしています。

 

<9月21日追記>
MGMは、20日、米国で運営するすべてのカジノとホテルで通常業務を再開したと発表しました。
専門家によると、9月10日に始まったハッキングにより、MGMは1日あたり840万ドル、総額8,400万ドルもの収益を失った可能性があとのことです。一方で、MGMは2億ドルのサイバー保険に加入していると噂されており、同社は損失が保険によって補填される見込みとコメントしています。また、事件以降、MGMの株価は6%下落しており、結果、8億5,000万ドルの市場価値が失われています。

 

<10月5日追記>
MGMリゾーツ・インターナショナルは、本件に関する最新情報を公開しました。
まず、サイバー攻撃によって企業のWebサイトと予約に使用されるモバイルアプリが停止し、9月のMGM Resortsの客室稼働率が2022年の93%から2023年には88%に低下しました。また、今回のサイバー攻撃で、1億ドルの損失を見込んでいるとのことです。

そして、今回の不正アクセスで流出したのは、氏名、連絡先(電話番号、電子メールアドレス、住所など)、性別、生年月日、運転免許証番号などの個人情報、さらに、一部の顧客については社会保障番号とパスポート番号までで、顧客のパスワード、銀行口座番号、支払いカード情報は漏洩していないとしています。

また、同社は、不正アクセスの影響を受けた顧客に対し、クレジット・モニタリングと個人情報保護サービスを無償で提供しており、本件に関する通知を受け取った顧客は、提供された指示に従ってこれらのサービスに加入することを推奨しています。