LockBitのランサムウェア攻撃を受けて600万人以上の個人情報が保険関連ソフトウェア開発企業から流出、被害者は800万円でのデータ回収を交渉するも10倍の価格で販売される

生命保険関連のソフトウェアやサービスを開発するInfosys McCamish Systems(IMS)がランサムウェア攻撃を受け、600万人以上の個人情報が流出したことが明らかになりました。IMSへの攻撃を実行したのはロシアを拠点とするサイバー犯罪集団「LockBit」だとされています。

Notice of Cybersecurity Incident
https://www.infosysbpm.com/mccamish/about/notice-of-cybersecurity-incident.html

Office of the Maine AG: Consumer Protection: Privacy, Identity Theft and Data Security Breaches
https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/b152fd39-9f84-4ca5-a149-d20b94ed8ef6.html

Infosys notifies 6 million people about data breach claimed by LockBit ransomware gang - Comparitech
https://www.comparitech.com/news/infosys-notifies-6-million-people-about-data-breach-claimed-by-lockbit-ransomware-gang/

IMSはアメリカで活動するソフトウェア開発企業で、34社以上の保険会社に対してサービスを提供しています。そんなIMSが、2024年6月27日にメイン州当局に対してデータ侵害の発生を報告しました。

IMSの報告によると、IMSは2023年10月29日～2023年11月2日に外部からの不正アクセスを受けて内部で管理していた情報を盗み取られたとのこと。また、2023年11月2日にはIMSのシステムがランサムウェアによって暗号化されました。

不正アクセスの詳細を分析した結果、盗み出されたデータには607万8263人におよぶ個人情報が含まれていたことが判明。個人情報には「社会保障番号」「生年月日」「医療記録」「生体認証情報」「メールアドレス」「パスワード」「運転免許証番号」「州ID」「銀行口座情報」「支払いカード情報」「パスポート番号」「Tribal IDの番号」「Military IDの番号」といった膨大な情報が含まれていました。

IMSは攻撃実行者の名前を明かしていませんが、2023年11月4日にはサイバー犯罪集団のLockBitがIMSに対する犯行声明を発表しています。LockBitはIMSから50GBのデータを盗み出したと主張しているほか、「IMSはデータの流出を防ぐためにLockBitに対して5万ドル(約800万円)の支払いを提案した。しかし、5万ドルでは不十分なため、50万ドル(約8000万円)でデータを販売する」とも主張しています。

なお、LockBitの中心的人物は2024年2月に逮捕されており、2024年4月にはFBIがLockBit製ランサムウェアの復号キーを入手したことを発表しています。しかし、LockBitの中心人物が逮捕された後もLockBit製ランサムウェアを用いたサイバー犯罪は確認されており、2024年6月に発生したインドネシアの国立データセンター侵害事件でもLockBit製ランサムウェアが用いられたことが判明しています。

インドネシアの国立データセンターがランサムウェア攻撃を受け12億円以上を要求されている - GIGAZINE