デジタル決済サービスを提供するCheckout.comが、「私たちの加盟店を守る:恐喝に立ち向かう」と題した声明を2025年11月12日に発表しました。この中で、Checkout.comはサイバー犯罪グループへの身代金の支払いを拒否し、その分をセキュリティ研究機関に寄付することを明らかにしています。
Protecting our Merchants: Standing up to Extortion
https://www.checkout.com/blog/protecting-our-merchants-standing-up-to-extortion
Checkout.comは2025年11月に、「Shiny Hunters」と名乗る犯罪グループから、同社に関連するデータを取得したとして身代金を要求されたとのこと。要求された金額は明らかにされていません。
調査の結果、Shiny Huntersは2020年以前に使用されていたサードパーティー製の古いクラウドファイルストレージシステムに不正アクセスし、データを取得したことが判明。このシステムは当時、内部の運用文書や加盟店のオンボーディング資料のために使われていたものでした。
稼働中の決済処理プラットフォームへの影響や、加盟店の資金やカード番号へのアクセスは一切なかったそうですが、Checkout.comは今回のインシデントを自社の過失として全責任を認め、パートナーや関係者へ心配をかけたことを謝罪しています。また、影響を受けた可能性のある加盟店の特定と連絡を進めるとともに、法執行機関や関連規制当局と緊密に連携していると述べました。
一方で、Checkout.comは、「犯罪者による恐喝には屈せず、身代金を支払わない。この攻撃を業界全体のセキュリティへの投資に変える」と宣言しました。身代金として要求された金額は、カーネギーメロン大学とオックスフォード大学サイバーセキュリティセンターに寄付され、サイバー犯罪との戦いに関する研究支援に使われるとのこと。Checkout.comは、「セキュリティ、透明性、信頼が業界の基盤です」と語り、デジタル経済を脅かす犯罪者との戦いに投資することを表明しました。
なお、ソーシャルニュースサイトのHacker Newsでは、「数年前にFBIに逮捕されたShinyHuntersのメンバーと刑務所で一緒だった」というコメントが書き込まれています。これによると、ShinyHuntersはフィッシング詐欺で情報を釣り出すほか、GitHubでAPIエンドポイントを検索し、漏洩したAPIキーを探すこともあったとのこと。また、ShinyHuntersのメンバーは、GitHubで漏洩キーを自動でスキャニングしてくれる「シークレットスキャン」機能は自分たちの仕事の邪魔になると嫌っていたそうです。
この記事のタイトルとURLをコピーする
・関連記事
アサヒグループホールディングスへのサイバー攻撃についてランサムウェア集団の「Qilin」が犯行声明を発表 – GIGAZINE
保育園が「Radiant」にハッキングされ10人の子どもの個人情報がネット上に漏えい&数千人の園児の写真や個人情報を公開すると脅迫される非常事態に – GIGAZINE
大手生命保険がサイバー攻撃により顧客の個人情報の大半を盗まれたと発表 – GIGAZINE
イギリスが公共部門やインフラ担当のランサムウェア攻撃への身代金支払いを禁止へ – GIGAZINE
ロシアのプロバスケットボール選手がランサムウェア攻撃グループへの関与を疑うアメリカの要請によりフランス警察によって逮捕される – GIGAZINE
ソース元はコチラ
この記事は役に立ちましたか?
もし参考になりましたら、下記のボタンで教えてください。