流出した契約者のクレジットカード番号や銀行口座番号は悪用できないとTalkTalkは強調。攻撃の発端はSQLインジェクション攻撃だったと伝えられている。
英通信会社のTalkTalkから契約者の個人情報が流出した事件で、ロンドン警視庁は10月26日、北アイルランドで15歳の少年をコンピュータ不正使用の容疑で逮捕したと発表した。
TalkTalkに対するサイバー攻撃は21日に発覚し、契約者の氏名や住所、クレジット情報や銀行情報などが流出。ロンドン警視庁のサイバー犯罪部門と北アイルランド警察は26日に逮捕した少年から事情を聴くとともに、関係個所の捜索を行って捜査を進めている。
TalkTalkは同日サイトに掲載した更新情報で、流出したクレジットカード番号は一部を伏せた形に形になっていて、決済に利用することはできないと強調した。
さらに、「銀行口座番号などの情報も流出した可能性があるものの、それ以上の情報がなければ犯罪者が被害者の口座から現金を引き出すことはできない」とした。TalkTalkアカウント用のパスワードが流出した形跡はないと説明している。
この事件に関連してセキュリティ情報サイトのKrebsOnSecurityは、何者かが同社に対して身代金8万ポンドをビットコインで支払うよう要求し、応じない場合は契約者情報を公開すると脅迫していると伝えた。ネット上の闇市場には、TalkTalkから盗んだ情報を売り出すという予告も掲載されているという。
攻撃の発端は、データベースの設定ミスを突くSQLインジェクション攻撃だったとの情報もある。また、事件の発覚に先立つ10月18日の時点で、TalkTalkのWebサイトのビデオセクションに脆弱性が存在するという情報がTwitterに掲載されていたことも分かったとKrebsOnSecurityは伝えている。
Copyright © ITmedia, Inc. All Rights Reserved.