王室ファミリーやセレブも愛用? 英国美容整形クリニックがハッキングされデータ流出

江添 佳代子

November 8, 2017 08:00
by 江添 佳代子

英国を拠点とする美容整形外科がハッキングされ、数多くの患者の写真が奪われた。その事件を2017年10 月23日に報じたのは、犯人から写真の一部を送りつけられた米国のニュースサイト『The Daily Beast』の記者だった。

被害を受けた「London Bridge Plastic Surgery」は、セレブの顧客が多いことでも知られる有名なクリニックで、SNSやオンラインのレビューサービスでも非常に高い評価を受けている。

一方、実行犯の「The Dark Overlord(以下TDO)」も、数々の悪質なサイバー犯罪を引き起こしたことで知られるハッキンググループだ(※1)。彼らは今回、同クリニックからテラバイト単位のデータを盗み出したと主張しており、そこには患者の顔、胸、性器などの鮮明な写真も含まれているという。これはセキュリティ事件史上、最もプライベートな情報が奪われたデータ漏洩事件のひとつだろう。

データを流出させた美容整形外科「London Bridge Plastic Surgery

 
※1…現在、The Dark Overlordは「我々」と名乗っているため、それはハッキンググループとして扱われている。そして犯行声明を発表したり、メディアの取材に応対したりしている「Thedarkoverlord」は同グループの広報担当者だと考えられている。しかし団体であることを示す強い根拠もないため、すべての事件は「単独のハッカー(Thedarkoverlord=The Dark Overlord)の犯行」という可能性もある。

事件の内容と犯行声明

すでにLondon Bridge Plastic Surgeryは、サイバー攻撃の被害を受けたことを認める声明をウェブサイトで公開しており、そこには次のように記されている。

「当クリニックがサイバー攻撃の被害を受けたことを確認した。患者の情報を守るため、我々は直ちに攻撃を阻止するための措置を講じた。すでにロンドン警視庁へは通報済みで、事件の捜査は始まっている」
「ITの専門家や警察による調査の結果、残念ながら我々のセキュリティは侵害され、データが盗まれたと考えられる。我々はまだ、どのデータが侵害されたのかを正確に確認するべく努力しているところだ」

London Bridge Plastic Surgeryが出した声明文

一方、この犯行に携わったTDOは、同クリニックのメールアカウントを使って米国ニュースサイト『The Daily Beast』の記者ジョセフ・コックスにメールを送った。つまり彼らは、そのメールで「クリニックの侵害を果たしたこと」を証明しながらメディアに連絡している。

コックスの元には、同クリニックが手術のために撮影したと思われる写真の一部が送りつけられた。それを実際に見たコックスの記述によれば、「(写真の)多くは至近距離で撮影された非常にあからさまなもので、男女の性器の手術の様子を示している。他には手術後と思われる患者の体の写真や、一部には顔の写真もある」という。

さらにTDOはコックスに対して「我々は、こんなもの(this shit)をテラバイト単位で持っている。データベース、名前、何もかもだ」「中にはロイヤルファミリーのものもある」と主張した。TDOは「金銭目的の」サイバー犯罪に何度も手を染めてきた悪名高き存在だが、今回もLondon Bridge Plastic Surgeryに身代金を要求したのかどうかは、この原稿を執筆している時点で確認されていない。

盗んだ未公開映像で身代金要求

TDOを一躍有名にしたのは、世界中で大ヒットしているNetflixのオリジナルドラマ「オレンジ・イズ・ニュー・ブラック(Orange Is The New Black、以下OITNB)」のエピソードを盗み出した事件だろう。公開が間近に迫っていたOITNB第5シーズンの映像を奪ったTDOが、「この映像を放映まで公開されたくなければ身代金を支払え」とNetflixに要求し、のちに放映前の10エピソードをオンラインにダンプしたニュースは2017年4月から5月にかけて大きな話題となった。このとき彼らがサイバー攻撃を仕掛けた相手はNetflixではなく、OITNBの製作に携わったカルフォルニアの企業Larson Studios(ハリウッド映画やテレビ番組のポストプロダクション会社)だったと考えられている。

Netflixは恐喝されたことを認めているものの、要求された身代金の額は発表していない。一方、サイバー攻撃を受けたLarson Studios自身は、Netflixよりも早い持期(2016年12月)から恐喝され、すでに約5万ドル相当の身代金をビットコインで支払っていたことが判明している(※2)。その身代金をせしめたのち、TDOは同じネタ(OITNBの未放映コンテンツ)でNetflixや他の関係組織も恐喝したが、Larson Studios以外は応じなかった、あるいは支払いに失敗したため、結局OITNBの新エピソードは流出した。つまりLarson Studiosの払った5万ドルは無駄だったということになる。

またTDOは、人気コメディアンのスティーブ・ハーヴェイが司会を務めるABCの新しいコンテスト番組「Funderdome」の、まだ放送されていない8つのエピソードをオンラインにリークした犯人も自分たちだと主張している。このときTDOは、ハリウッドを中心としたエンターテインメントニュースの『The Hollywood Reporter』と連絡を取り合い
「我々は盗んだプログラムの流出を続ける」
「ハリウッドは攻撃下にあり、この昨今の攻撃の最前線に我々は存在している」
「我々は誰も怖がらせようとしているのではない。膨大なインターネットマネーを稼ぐビジネスを行っているのだ」
と語った。

またTDOはLarson Studiosのハッキングに成功した際、Netflix、CBS、Disneyなどの「数十のコンテンツ」を盗んだと語っており、他にもIFCやNational Geographicの映像を手に入れていると主張した。それらの流出に関して、一部の企業は身代金の支払いにこっそり応じたという噂も報じられている。さらにパイレーツオブカリビアンの未公開の新作を盗み出してディズニーを恐喝しようと試みたのもTDOだったのではないか、といった噂もあるのだが、「OITNB」と「Funderdome」以外のコンテンツに関する話は、あまり明確ではない。
 
※2…同社はFBIの「支払わないように」という指示に反して身代金を支払ったとも報じられている。

すでに凍結されているTDOのTwitterアカウントのアーカイブ(のひとつ)

4月28日のツイートでは、FOX、IFC、NAT GEO、ABCも「次の犠牲者」のリストに挙がっていることを仄めかしていた

TDOと「その他の過去の事件」

TDOは映像コンテンツを盗んで恐喝する以外にも、数多くのサイバー犯罪を実行してきた。おそらく彼らの名前が初めて報じられたのは昨年の初夏だ。2016年6月、TDOは「医療機関から盗み出した65万5000人の患者の詳細な個人データを販売する」という宣伝文をダークウェブの闇市場「TheRealDeal」に書き込んだ。それは社会保障番号や保険証券番号などの機微情報が含まれた(つまり様々な犯罪に用いることのできる)利用価値の高いデータだった。

このときTDOは、ダークウェブ情報サイト『DeepDotWeb』と連絡を取り、盗んだデータの一部の画像を提供するとともに(※3)、その大量の医療データについて「米国の3つの医療機関をハッキングして得たもの」だと語り、その内訳(ファーミントンの機関から4万8000件、アトランタの機関から39万7000件、セントラル/ミッドウエストの機関から21万件)について説明した。しかし、どうやら彼らの犯行目的はダークウェブでのデータ販売ではなく、医療機関への恐喝にあったらしく、「いま身代金を要求している」という理由で各医療機関の名前を挙げることを避けた(※4)。それからわずか数日後、TDOは医療保険のデータベースから盗み出したという「900万人の患者に関する詳細データ」を販売すると新たに申し出た

さらに彼らは2016年6月(つまり医療データ販売事件と同年同月)、医療サービス用のソフトウェアを提供しているテクノロジー企業をハッキングし、ソースコードやサイニングキーを販売しないという条件と引き替えに身代金を要求した。その他にも彼らは、インディアナの癌医療サービス機関や、アトランタの整形外科Peachtree Orthopaedic Clinicを標的としたデータ侵害と恐喝を行っている。このように彼らは、主に「医療」と「芸能」の組織を狙って活動してきた。ちょっとイレギュラーな例では、米国で一般的な接着剤/粘着テープのブランド「Gorilla Glue」のメーカーGorilla Glue Companyも、彼らのサイバー攻撃の犠牲者となっている
 
※3…この当時、TDOは「我々」という言葉を使っていなかったためか、一人のハッカーだと見なされていた。
※4…このうち2つの医療機関の名前は、のちに特定された。

TDOが培ってきた戦略

TDOは「ランサムウェアでデータを暗号化するのではなく、狙った組織からデータを盗み出し、それをオンラインで公開すると脅して、被害者や関係者から利益を得る」という手口のサイバー犯罪を繰り返してきた。また、TDOと何度も連絡を取り合ってきた『Motherboard』誌が指摘しているように、彼らはメディアを使って騒ぎを大きくし、そのデータがどれほど重要なものかを広く知らしめ、被害者を震え上がらせてから身代金を要求するというスタイルの戦略を学んでいるようだ。実際、TDOはデータ侵害を行うたび複数のメディアと積極的にコンタクトを取り、盗んだデータの画像を送ったり、あるいはハッキングの手口を部分的に伝えたりすることで注目を集めてきた。

この手口が有効となるのは、「より人々が興味を持ち、大げさな反応を示すジャンル」を標的とした恐喝だろう。もちろん医療機関による患者のデータ流出も、充分に一般市民の不安を煽るものだが、それよりも「まだ見ることができない人気番組の新しいエピソード」のほうが注目される。さらに「セレブやロイヤルファミリーも利用している美容整形クリニックから盗まれた胸や性器などの生々しい画像、および医療データの流出」は極めつけだろう。それは、よりプライベートで悪質な個人情報の侵害であるとともに、人々が大いに驚くゴシップ話になり得る(※5)。今回のLondon Bridge Plastic Surgeryの事件は、これまでTDOが学んできた手口の集大成と言えるかもしれない(同クリニックは身代金の要求について明言していないが)。

もちろん米国や英国の警察機関は、これまでにTDOが起こしてきた数々の事件を捜査しているが、依然として犯人の手がかりに関する話題は聞こえてこない。これほど凶悪なサイバー犯罪に何度も携わり、また積極的に多数のメディアと連絡を取り合ってきたにも関わらず、その正体が団体であるのか個人であるのかさえも、まだ明らかとなっていない。
 
※5…ただし「美容整形外科のデータを盗み出し、身代金を要求する」というサイバー犯罪を起こしたのはTDOが初めてではない。2017年5月にも「Tsar Team」を名乗るハッキンググループが、リトアニアの美容整形外科Grozio Chirurgijaから患者のヌード写真や個人情報の含まれたデータを盗み出したのち、約2万5000点の写真をオンラインに公開している。この事件では、攻撃を受けたクリニックだけでなく、世界の60カ国以上に散らばった患者たちにも脅迫状が送られた。なお「Tsar Team」とは、世界に名だたる諜報グループAPT28の別名でもあるのだが、もちろん犯人の自称だけを根拠に「あのAPT28が」美容整形外科を恐喝したとは言えないだろう。




江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。

THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。


ビール祭りにやってきた犯罪者を「顔認識」で一網打尽

November 13, 2017 08:00

by 牧野武文

中国山東省青島市で開催された国際ビール祭りで、青島市開発区警察は、会場に顔認識システムを設置。公安部保有のデータベースと照合することで、犯罪者を抽出し、逮捕するという作戦を実行した。49名の逃亡犯、麻薬犯罪者、スリなどを逮捕する成果をあげたと『新浪科技』が伝えた。 10万人以上がやってくるイベント …

PacSec 2017レポートソフトバンクPepperが危険な理由

November 10, 2017 08:30

by 『THE ZERO/ONE』編集部

米国のセキュリティ企業「IOActive」に所属するセキュリティエンジニア、ルーカス・アパ氏が「スカイネットが来る前にロボットをハックする」と題してロボット、特に家庭向けの製品に関するセキュリティ・リスクについて「PacSec2017」で講演を行った。 家庭用のロボットはリスクだらけ ルーカス氏はネ…