オーストラリアで過去最大のデータ侵害15選 [2026年]
オーストラリアでのクレデンシャルスタッフィングは、大規模なデータ侵害によってますます増加していますが、パスキーはこれらのサイバーセキュリティの脅威から保護することができます。
![オーストラリアで過去最大のデータ侵害15選 [2026年]](/_next/image?url=https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fcorbado-cloud-staging-website-assets%2FBLOG_OG_v2_ja_blog_data_breaches_australia_c8e0c9a2c92a_89b9cb7840.png&w=3840&q=75)
このページは自動翻訳されています。英語の原文は こちら.
オーストラリア向けPasskeys. パスキープログラム向けの実践ガイド、展開パターン、KPI。
- 2024年第1四半期、オーストラリアのデータ侵害の発生率は前四半期比で388%急増し、180万件のアカウントが侵害され、世界で15番目に侵害が多い国となりました。
- 2004年以降、約3,700万件のオーストラリアの電子メール識別子が侵害されており、これは平均して1分間に13件のアカウントが侵害されている計算になります。
- Latitude Financialのデータ侵害(2023年3月)では、1,400万人の記録が流出し、当初報告された影響を受けた顧客の推定32万8,000人をはるかに上回りました。
- クレデンシャルスタッフィングは、ある侵害で盗まれた認証情報を無関係なプラットフォームに対して武器化し、侵害されていない組織でさえも重大なアカウント乗っ取りの危険にさらします。
- Cloudflareの調査によると、オーストラリアの企業の41%が過去1年間に少なくとも1回の侵害を受け、33%が11回以上の侵害を報告しています。
1. はじめに:なぜデータ侵害はすべての組織にとってリスクなのか?#
私たちが生きる相互に接続された世界において、サイバーセキュリティの重要性はかつてないほど明らかになっています。デジタル技術が進化するにつれ、サイバー犯罪者の手口も進化し、世界中でデータ侵害が急増しています。このサイバー攻撃増加の影響を最も受けている国の1つがオーストラリアであり、近年、何百万人にも影響を与える重大なデータ侵害が相次いで発生しています。これらの侵害は、機密情報を暴露しただけでなく、ユーザーデータを保護するための高度なセキュリティソリューションの緊急の必要性を浮き彫りにしました。
サイバーセキュリティの世界的リーダーになるためのオーストラリアの道のりは、課題と進歩の両方によって特徴付けられます。国は、「国家サイバーセキュリティ戦略 2023-2030」などのイニシアチブ、独自のサイバーセキュリティ担当大臣の配置、「Essential Eight(エッセンシャル・エイト)」フレームワークの導入など、サイバーセキュリティを向上させるための積極的な措置を講じてきました。しかし、これらの努力にもかかわらず、データ侵害の頻度と規模は拡大し続けています。
ライブデモでパスキーを試せます。
このブログ記事では、オーストラリアにおける(影響を受けたユーザー数に基づく)最大規模のデータ侵害の概要を提供し、同国がサイバー犯罪者にとって魅力的な標的となっている要因を探り、そしてなぜ侵害を受けていない組織でさえも現在脅威にさらされているのかを説明します。
私たちは、2024年に焦点を当ててさまざまな情報源(例:Webber Insurance、Cyber Daily、2023年7月から12月までのOAICの通知対象データ侵害レポート)から最大のデータ侵害に関するデータを収集し、これらの侵害が個人とビジネスに与える影響について議論します。
2. なぜオーストラリアはデータ侵害の標的としてそれほど魅力的なのか?#
オーストラリアではデータ侵害が劇的に増加しており、特に2024年の第1四半期には、驚異的な180万件のユーザーアカウントが侵害されました。これは2023年の最終四半期から驚くべき388%の増加を意味し、オーストラリアは世界で15番目に侵害された国に押し上げられました。
実際にどれだけの人がパスキーを使っているか確認できます。
2004年以降、約3,700万件の固有のオーストラリアの電子メール識別子が侵害されており、これは平均して毎分13件のアカウントが侵害されているのと同じです。全体として、これらの侵害により、オーストラリアでは9,700万件のパスワードを含む合計4億1,600万件の個人記録が流出しました(詳しくはこちらとこちらをご覧ください)。
オーストラリアがサイバー犯罪者の標的として魅力的であることには、いくつかの要因が寄与しています:
- 成長するデジタル経済と高い接続性:オーストラリアは急速に成長するデジタル経済を持っています。この広範なデジタル導入は、個人ユーザーから大企業に至るまで、潜在的な標的の膨大なプールを生み出します。さらに、技術に精通した人口と高度なデジタルインフラストラクチャを備えたオーストラリアの高度な接続性は、サイバー犯罪者にとって魅力的な標的となっています。
2023年7月から12月までの通知対象データ侵害レポートより引用
- 闇市場が個人データに記録的な高値を支払う:闇市場での個人データの価値は急騰しており、オーストラリアの豊富なデジタル情報は非常に望ましいものとなっています。サイバー犯罪者は、特に財務データ、ヘルスケア記録、および政府データベースに惹かれています。
- サイバーセキュリティ対応における課題:サイバーセキュリティへの多大な投資にもかかわらず、多くのオーストラリアの組織は依然としてセキュリティ対策の完全な実施と維持において課題に直面しています。Cloudflareによる調査では、オーストラリアの企業の41%が過去1年間に少なくとも1回のデータ侵害を経験し、33%が同期間に11回以上の侵害を報告していることが明らかになりました。これは、認識が高まっている一方で、効果的なサイバーセキュリティ戦略の実行が一貫しておらず、多くの組織が攻撃に脆弱なままになっていることを示唆しています。
2023年7月から12月までの通知対象データ侵害レポートより引用
- 戦略的重要性およびイノベーションハブ:オーストラリアのアジア太平洋地域における戦略的重要性と、イノベーションのハブとしての評判も、サイバースパイ活動や国家支援の攻撃の標的となっています。新しい技術のテストと採用のリーダーとして、オーストラリアは、最先端のデジタルシステムが完全に保護される前にそれらを混乱させたり悪用したりしようとする人々の十字線にしばしば気づきます。
- 政府によるサイバーセキュリティへの注目の高まり:オーストラリア政府のサイバーセキュリティへの焦点は、「国家サイバーセキュリティ戦略 2023-2030」などのイニシアチブや専任のサイバーセキュリティ大臣の任命に例示されており、利益とリスクの両方をもたらしました。これらの努力は国の防衛を強化することを目指していますが、新しいセキュリティ対策に挑戦し、それを回避しようとする高度な攻撃者の注意も引き付けます。
オーストラリアでのデータ侵害の急増は、優れたサイバーセキュリティ態勢の必要性を浮き彫りにしています。同国が2030年までにこの分野のリーダーになることを目指す中で、既存の脆弱性に対処し、イニシアチブを基に、より回復力のあるデジタル環境を構築する必要があります。フィッシング耐性のある多要素認証を提供するパスキーのようなソリューションは、ユーザーデータを保護し、全体的なサイバーセキュリティを強化するための重要な一歩を表しています。さらに、ダークウェブの監視やサイバー脅威インテリジェンスの共有などの戦闘的努力は、国が潜在的な攻撃に備え、データ侵害の影響を軽減するのに役立ちます。新しい技術に投資することで、オーストラリアはサイバー脅威から身を守るだけでなく、サイバーセキュリティの世界的リーダーになることもできます。
なぜオーストラリアの組織にとってパスキーが重要なのか?
オーストラリアの政府と企業向けのパスキー
オーストラリアのサイバーセキュリティ戦略とEssential Eightフレームワークは、組織に対しフィッシング耐性のあるMFA(パスキー経由)を導入することを義務付けています。当社のホワイトペーパーでは、その概要を説明し、パスキーを効率的に導入する方法とビジネスへの影響について示しています。
無料ホワイトペーパーをダウンロード
3. オーストラリアにおける最近の注目すべきデータ侵害#
以下に、オーストラリアで最大規模のデータ侵害のリストを示します。データ侵害は、影響を受けた顧客アカウントの数が多い順に並べられています。このリストは、オーストラリア国民のデータが関与した国際的な企業ではなく、オーストラリアに本社を置く企業に焦点を当てています。
最新ニュースを受け取るためにPasskeys Substackを購読しましょう。
3.1 Canvaのデータ侵害#
| 日付 | 2019年5月 |
|---|---|
| 影響を受けた顧客 | 1億3,700万人(世界全体) |
| 侵害されたデータ | - ユーザー名 - 本名 - 電子メールアドレス - 国のデータ - 暗号化されたパスワード - 一部の支払いデータ |
2019年5月、オーストラリアのハイテクユニコーンであるCanvaは、世界中の1億3,700万人のユーザーの個人情報を危険にさらす重大なデータ侵害の被害者となりました。この侵害は「Gnosticplayers」という偽名で活動するハッカーによって組織され、Canvaのシステムに侵入し、機密のユーザーデータにアクセスすることに成功しました。攻撃は進行中にCanvaのセキュリティチームによって検出されましたが、ハッカーが阻止された時点ですでに大量のデータが流出していました。
興味深いことに、盗まれたデータをダークウェブのフォーラムで販売するという通常の慣行ではなく、ハッカーはメディアであるZDNetに直接連絡を取り、侵害について自慢しました。サイバー犯罪の世界では法執行機関を避けるために匿名性が維持されるのが一般的であるため、このような公の暴露行為は珍しいことです。
侵害後、Canvaは影響を受けたユーザーに速やかに通知し、復号されたパスワードを使用しているユーザーには直ちにリセットするよう促しました。さらに、同社は過去6か月間にパスワードを更新していないアカウントに対して強制的なパスワードリセットを実施しました。
3.2 Latitudeのデータ侵害#
| 日付 | 2023年3月 |
|---|---|
| 影響を受けた顧客 | 1,400万人 |
| 侵害されたデータ | - 氏名 - 住所 - 電子メールアドレス - 電話番号 - 生年月日 - 運転免許証番号 - パスポート番号 |
2023年3月、オーストラリアの著名な個人向けローンおよび金融サービスプロバイダーであるLatitude Financialは、同国の最近の歴史の中で最も重大なデータ侵害の1つを経験しました。当初、Latitudeは約32万8,000人の顧客が影響を受けたと報告しました。しかし、調査が進むにつれて、侵害によりオーストラリアとニュージーランド全土で1,400万人以上の個人の個人情報が漏洩したことが明らかになりました。
侵害は、サイバー犯罪者が盗まれた従業員の資格情報のセットを使用してLatitudeのシステムにアクセスしたときに発生しました。この不正アクセスにより、攻撃者は名前、連絡先情報、運転免許証やパスポート番号などの識別情報を含む、膨大な量の機密顧客データを流出させることができました。侵害されたデータの多くが2005年に遡るものであったため、この侵害は特に憂慮すべきものであり、義務的な保持期間を超えてなぜそのような古い記録が保存されていたのかについての懸念が高まりました。
オーストラリア政府は、民間部門の侵害に介入する連邦サイバー機関の権限の拡大を含む、より強力な措置を検討することで対応しました。Latitudeは現在、侵害への対応について調査を受けており、そのセキュリティ慣行や、同社がこのような攻撃を防ぐための十分な措置を講じていたかどうかについて疑問が投げかけられています。
3.3 MediSecureのデータ侵害#
| 日付 | 2024年5月 |
|---|---|
| 影響を受けた顧客 | 1,290万人 |
| 侵害されたデータ | - 名前 - 住所 - 健康情報(例:処方箋) |
2024年5月、オーストラリアの処方箋配達サービスの主要プレーヤーであるMediSecureは、1,290万人の個人の個人情報を暴露する重大なデータ侵害に見舞われました。医師から薬局への処方箋の電子送信と紙での送信を容易にするわずか2つのサービスのうちの1つであったMediSecureは、ランサムウェア攻撃の標的となり、機密の患者データを含む膨大なデータベースが侵害されました。侵害されたデータには、2023年11月より前に記入された処方箋に関連する名前、住所、健康情報が含まれていました。
この攻撃は、健康データが暴露された個人だけでなく、企業としてのMediSecureにとっても深刻な結果をもたらしました。侵害の余波で、MediSecureは管理下に置かれることを余儀なくされました。これは、外部管理者が財政的に行き詰まった企業の経営を引き継ぎ、業務の再構築と債権者への返済を管理しようとするプロセスです。この事件は、ヘルスケアITシステムにおける重大な脆弱性と、そのような侵害が消費者とビジネスの両方に与える可能性のある壊滅的な影響を浮き彫りにしました。
オーストラリア政府は、さまざまな規制機関とともに、侵害による影響を管理するために迅速に介入しました。彼らの対応には、影響を受けた個人への影響を軽減し、他のヘルスケアシステムにおける同様の脆弱性に確実に対処するための努力が含まれていました。
3.4 Optusのデータ侵害#
| 日付 | 2022年9月 |
|---|---|
| 影響を受けた顧客 | 980万人 |
| 侵害されたデータ | - 名前 - 生年月日 - 住所 - 電話番号 - パスポート情報 - 運転免許証番号 - 政府のID番号 - 医療記録とメディケアカードのID |
2022年9月のOptusのデータ侵害は、国の人口のほぼ40%に相当する約980万人の顧客に影響を与えました。オーストラリアで2番目に大きな通信プロバイダーとして、Optusは国家が支援するグループによって組織されたとされる高度なサイバー攻撃の標的となりました。攻撃者はOptusの内部ネットワークにアクセスし、名前、生年月日、住所、およびパスポート、運転免許証、メディケアカードIDなどの識別番号を含む、膨大な種類の機密の個人情報を流出させました。
侵害は安全でないAPIエンドポイントを通じて促進されたと考えられており、これにより攻撃者は認証手段をバイパスし、データへの直接アクセスを獲得することができました。Optusのシステムにおけるこの脆弱性は、特に大量の個人データを扱う企業において、実施されているサイバーセキュリティ対策の適切性に深刻な疑問を投げかけました。
侵害後、攻撃者はオンラインフォーラムで盗まれたデータのサンプルを公開し、暗号通貨で150万豪ドルの身代金を要求しました。しかし、法執行機関からの圧力の下、そしておそらくさらなる影響を恐れて、ハッカーはわずか数日後に身代金の要求を撤回し、盗まれたデータを削除したと主張し、身代金が最初に投稿されたのと同じフォーラムで謝罪を発表しました。
Optusの侵害は、オーストラリアのサイバーセキュリティインフラに対する広範な批判を招き、2023年4月には120万人の影響を受けた顧客を巻き込んだ集団訴訟につながりました。
3.5 Medibankのデータ侵害#
| 日付 | 2022年12月 |
|---|---|
| 影響を受けた顧客 | 970万人 |
| 侵害されたデータ | - 名前 - 生年月日 - パスポート番号 - 医療請求データ - 医療記録 |
2022年12月、オーストラリア最大の医療保険プロバイダーの1つであるMedibankが大規模なデータ侵害の標的となり、970万人の顧客の個人情報が漏洩しました。ロシアを拠点とする悪名高いREvilランサムウェアグループによって組織されたと考えられているこの侵害には、医療記録や請求情報を含む非常に機密性の高いデータの盗難が含まれていました。
この事件は、REvilがダークウェブのブログに6GBの生データサンプルを公開し、それに伴って1,000万ドルの身代金を要求したときに明るみに出ました。このデータの公開は厳しい警告としての役割を果たし、攻撃者がさらに大量の機密情報を所持していることを示していました。莫大な圧力にもかかわらず、Medibankは毅然とした態度をとり、身代金の支払いを拒否しました。この決定は、サイバーセキュリティの専門家と一般大衆の両方から賞賛され、精査されました。
Medibankが身代金の要求を満たすことを拒否した後、盗まれたデータはダークウェブ上で完全に公開されたと報じられました。しかし、現在までのところ、この侵害に直接関連する身元盗用や金融詐欺の確認されたケースはありません。攻撃に対応して、Medibankは顧客に対し、特に信用調査やフィッシングの試みに関して警戒を怠らないよう促すとともに、サイバーセキュリティ防御を強化するために多大なリソースを投入することを約束しました。
この侵害は、オーストラリア情報コミッショナー事務局(OAIC)によるMedibankのデータ取り扱い慣行に関する大規模な調査を含む、複数の調査を引き起こしました。サイバーセキュリティ対策に過失があると判断された場合、Medibankは最高21.5兆(!)ドルに上る厳しい罰則に直面する可能性があります。
この侵害は、ヘルスケア部門で機密データを扱うことに関連するリスクを浮き彫りにしただけでなく、適切なサイバーセキュリティ保護を実施できなかった組織にもたらされる潜在的な結果を強調しました。
ライブデモでパスキーを試せます。
3.6 Qantasのデータ侵害#
| 日付 | 2025年6月 |
|---|---|
| 影響を受けた顧客 | 600万人 |
| 侵害されたデータ | - 氏名 - 電子メールアドレス - 電話番号 - 生年月日 - フリークエントフライヤー番号 |
2025年6月、オーストラリア最大の航空会社であるQantasは、最大600万人の顧客に影響を与える可能性のある重大なデータ侵害を経験しました。この侵害は、Qantasのマニラを拠点とするコールセンターを標的とした巧妙なソーシャルエンジニアリング攻撃を通じて発生し、高度なコールセンターソフトウェアで軽減できた可能性のある脆弱性を浮き彫りにしました。サイバー犯罪者は会社の従業員になりすまして、サードパーティのカスタマーサービスプラットフォームへの不正アクセスを取得し、名前、電子メールアドレス、電話番号、生年月日、フリークエントフライヤー番号などの機密の顧客情報を流出させました。
Qantasは影響を受けた顧客に速やかに通知し、財務の詳細、パスポートデータ、およびアカウントのパスワードが侵害されていないことを確認しました。この侵害により、重要なカスタマーサービス機能のアウトソーシングのセキュリティに関する懸念が高まり、Qantasはセキュリティ対策を見直し、強化するようになりました。Vanessa Hudson CEOは公に謝罪し、責任を認め、将来の発生を防ぐための包括的な改善を約束しました。
3.7 Early Settlerのデータ侵害#
| 日付 | 2024年8月 |
|---|---|
| 影響を受けた顧客 | 110万人 |
| 侵害されたデータ | - 氏名 - 電子メールアドレス - 電話番号 - 住所 - 生年月日 |
2024年8月、オーストラリアの有名な家具および家庭用品の小売業者であるEarly Settlerは、110万人の顧客の個人情報を暴露する重大なデータ侵害を経験しました。
侵害は、Early Settlersの顧客データベースへの不正アクセスが発見された後に検出されましたが、侵害の具体的な方法は公には明らかにされていません。同社は影響を受けた顧客に速やかに通知し、暴露された情報から生じる可能性のある潜在的なフィッシングの試みや他の形態の身元詐欺に警戒するよう促しました。
侵害に対応して、Early Settlersは将来のインシデントを防ぐためにサイバーセキュリティ対策を強化することを約束し、顧客データを保護するために必要なすべての手順を踏んでいることを顧客に安心させました。
3.8 Clubs NSWのデータ侵害#
| 日付 | 2024年5月 |
|---|---|
| 影響を受けた顧客 | 100万人 |
| 侵害されたデータ | 氏名 電子メールアドレス メンバーシップの詳細 電話番号 住所 |
2024年5月、オーストラリアのニューサウスウェールズ州の登録クラブを代表する最高機関であるClubs NSWは、約100万人のメンバーの個人情報を漏洩するデータ侵害に見舞われました。この侵害には、氏名、電子メールアドレス、メンバーシップの詳細、電話番号、物理的な住所などの機密データへの不正アクセスが含まれていました。
この侵害は、フィッシング攻撃、身元盗用、およびその他の悪意のある活動に利用される可能性のあるメンバーシップ情報の暴露による重大な懸念事項でした。侵害を発見すると、Clubs NSWは影響を受けたメンバーに速やかに通知し、漏洩した情報を悪用する可能性のある不審な通信に注意するようアドバイスしました。
攻撃の正確な方法は開示されていませんが、大量の個人データやメンバーシップデータを扱う組織の脆弱性を浮き彫りにしています。この事件はまた、大企業ほど厳密にデータ保護を優先しない可能性がある協会や会員ベースの組織内でのサイバーセキュリティ慣行を強化する必要性にも注意を引きました。
侵害に対応して、Clubs NSWはセキュリティインフラストラクチャを強化するための措置を講じ、将来のインシデントを防ぐためにサイバーセキュリティの専門家と協力しました。
実際にどれだけの人がパスキーを使っているか確認できます。
3.9 ProctorUのデータ侵害#
| 日付 | 2020年7月 |
|---|---|
| 影響を受けた顧客 | 444,000人 |
| 侵害されたデータ | 電子メールアドレス |
2020年7月、リモートの学生によって広く使用されているオンライン試験監督サービスであるProctorUは、44万4,000人のユーザーの電子メールアドレスを暴露する重大なデータ侵害に関与しました。この侵害は、18社に影響を与え、合計で驚異的な3億8,600万件の記録を漏洩させた、より大規模なデータ漏洩の一部でした。
侵害の重大さにもかかわらず、ProctorUは財務情報やその他の機密の個人情報は侵害されていないと報告しました。しかし、電子メールアドレスの暴露、特に著名な教育機関に関連するアドレスの暴露は、影響を受けたユーザーを標的とした潜在的なフィッシング攻撃やその他の悪意のある活動に対する懸念を引き起こしました。
この事件は、リモート学習の時代にますます不可欠になっているオンラインサービス内の脆弱性を浮き彫りにしました。
3.10 Tangerine Telecomのデータ侵害#
| 日付 | 2024年2月 |
|---|---|
| 影響を受けた顧客 | 232,000人 |
| 侵害されたデータ | - 氏名 - 生年月日 - 携帯電話番号 - 電子メールアドレス - 郵便番号/住所 - Tangerineのアカウント番号 |
2024年2月、オーストラリアの人気通信プロバイダーであるTangerine Telecomは、23万2,000人の顧客の個人情報を暴露するデータ侵害を経験しました。侵害されたデータには、氏名、生年月日、携帯電話番号、電子メールアドレス、郵便番号/住所、およびTangerineのアカウント番号が含まれていました。この侵害は、身元盗用や標的型フィッシング攻撃に悪用される可能性のある暴露情報の詳細な性質により、重大な懸念を引き起こしました。
侵害は、Tangerineの顧客データベースへの不正アクセスが検出されたときに発見されました。同社は侵害を封じ込めるために迅速に行動し、影響を受けた顧客に通知しましたが、この事件は、大量の機密顧客データを処理する通信会社のセキュリティ対策の脆弱性を浮き彫りにしました。
侵害後、Tangerine Telecomは、財務情報やパスワードが侵害されていないことを顧客に安心させましたが、暴露されたデータは依然として潜在的な危害を引き起こすのに十分でした。同社は顧客に対し、不審な通信に警戒し、アカウントに異常なアクティビティがないか監視するよう促しました。
3.11 オーストラリア国立大学 (ANU) のデータ侵害#
| 日付 | 2018年11月 |
|---|---|
| 影響を受けた顧客 | 200,000人 |
| 侵害されたデータ | - 名前 - 住所 - 電話番号 - 生年月日 - 緊急連絡先の詳細 - タックスファイルナンバー - 給与情報 - 銀行口座の詳細 - 学生の学業成績 |
2018年11月、オーストラリア国立大学(ANU)は、約20万人の個人の機密の個人情報を漏洩する非常に高度なサイバー攻撃に見舞われました。オーストラリアの歴史上最も複雑な侵害の1つであるこの侵害は、ほぼ半年間検出されず、攻撃者は19年前のデータにアクセスすることができました。
攻撃者は、ANUのネットワークに侵入するために一連の4つのスピアフィッシングキャンペーンを使用しました。最初の侵害は、上級スタッフのメンバーが知らないうちに悪意のある電子メールを開き、攻撃者が大学のシステムに深く侵入するために必要な資格情報を付与したときに発生しました。内部に入ると、攻撃者はANUのエンタープライズシステムドメイン(ESD)にアクセスしました。ここには、個人の詳細、タックスファイルナンバー、給与情報、さらには学生の学業成績など、大学の最も機密性の高い記録が保存されていました。
攻撃者は、痕跡を綿密に隠すことで高いレベルの洗練さを示しました。彼らは、活動の証拠を消去するためにアクセスログを即座に削除し、オンライン活動を匿名化するように設計されたソフトウェアであるTorを使用して、現在地を隠しました。このレベルの運用セキュリティにより、侵害の検出が大幅に遅れました。
アクセスを拡大するさらなる試みとして、攻撃者はスタッフメンバーの侵害された電子メールアカウントを使用して、2回目のフィッシングメールを送信し、他の上級大学メンバーを偽のイベントに招待しました。これにより、攻撃の範囲が拡大し、潜在的な損害が増加しました。
侵害の重大さにもかかわらず、盗まれたデータが悪用されたという確認された証拠はありません。しかし、この事件により、ANUは将来の侵害を防ぐためにサイバーセキュリティインフラストラクチャのアップグレードに数百万ドルを投資するようになりました。
3.12 Service NSWのデータ侵害#
| 日付 | 2020年4月 |
|---|---|
| 影響を受けた顧客 | 104,000人 |
| 侵害されたデータ | 特定のタイプは非公開ですが、500万件の文書からの機密の個人情報が含まれていました。 |
2020年4月、居住者にさまざまなサービスを提供する責任を負うニューサウスウェールズ州政府機関であるService NSWは、10万4,000人の個人の個人情報を暴露する重大なデータ侵害を経験しました。この侵害は、47人のスタッフの電子メールアカウントの侵害に成功した一連のフィッシング攻撃から始まりました。攻撃者は約500万件のドキュメントにアクセスし、その10%には機密の個人データが含まれていました。
アクセスされたデータの膨大な量と関与した情報の機密性の高い性質により、この侵害は特に懸念されました。侵害されたデータには、名前、住所、連絡先情報、およびおそらく他の重要な識別情報などの個人の詳細が含まれていた可能性がありますが、暴露された特定の種類のデータは完全には開示されていませんでした。
侵害が成功した主な要因は、侵害されたアカウントに多要素認証(MFA)がなかったことでした。この追加のセキュリティ層がないと、攻撃者は電子メールアカウントへのアクセスを簡単に取得および維持し、ネットワーク内を横方向に移動して大量の機密データを収集することができました。
侵害に対応して、Service NSWはセキュリティ慣行の包括的なレビューを実施し、システム全体へのMFAの展開を含む、より強力なセキュリティ対策の実施を開始しました。
3.13 Hey Youのデータ侵害#
| 日付 | 2024年6月 |
|---|---|
| 影響を受けた顧客 | 100,000人 |
| 侵害されたデータ | - 氏名 - 電子メールアドレス - 電話番号 - 配達先住所 - 注文履歴 |
2024年6月、オーストラリアの人気のある飲食注文アプリであるHey Youは、約10万人の顧客の個人情報を暴露するデータ侵害を経験しました。侵害により、氏名、電子メールアドレス、電話番号、配達先住所、注文履歴などの機密の顧客データが漏洩しました。このデータ漏洩は、特に潜在的な身元盗用やフィッシング攻撃の点で重大なリスクをもたらしました。
侵害は、Hey Youのデータベースへの不正アクセスが検出されたときに発見されました。Hey Youは顧客に対し、支払いや財務情報が侵害されていないことを保証しましたが、この侵害は、一見それほど重要ではないと思われるデータであっても保護することの重要性を強調しました。注文履歴や配達先住所などの情報は、他の個人データと組み合わせることで、サイバー犯罪者によってさまざまな悪意のある目的に使用される可能性があります。
侵害に対応して、Hey Youは将来のインシデントを防ぐために追加のセキュリティ対策を実施し、データ保護プロトコルを強化するためにサイバーセキュリティの専門家と緊密に協力しました。同社はまた、異常な通信に注意し、アカウントに不正なアクティビティの兆候がないか監視するよう顧客にアドバイスしました。
3.14 Telstraのデータ侵害#
| 日付 | 2024年4月 |
|---|---|
| 影響を受けた顧客 | 47,000人 |
| 侵害されたデータ | - 名前 - 電子メールアドレス - 電話番号 |
2024年4月、オーストラリア最大の通信プロバイダーの1つであるTelstraは、約4万7,000人の顧客の個人情報を暴露するデータ侵害を明らかにしました。侵害されたデータには、名前、電子メールアドレス、および電話番号が含まれていました。この情報を含むデータセットがハッキングフォーラムに投稿されたときに侵害が公になり、暴露されたデータの潜在的な悪用に関する懸念が高まりました。
報告によると、データセットには大量のダミーデータが含まれていましたが、実際の顧客情報の暴露は、特に身元盗用や標的型フィッシング詐欺に関して深刻なリスクをもたらしました。Telstraは、侵害はシステムに対する直接的なサイバー攻撃の結果ではないと明言しましたが、この事件は、不正アクセスや配布から顧客データを保護することにおける進行中の課題を浮き彫りにしました。
侵害に対応して、Telstraは暴露の範囲を評価するための措置を講じ、財務の詳細などのより機密性の高い情報は侵害されていないことを顧客に安心させるために取り組みました。
さらに、Telstraは消費者向けにフィッシング耐性のあるMFAとしてパスキーを導入しました。
3.15 Sumoのデータ侵害#
| 日付 | 2024年5月 |
|---|---|
| 影響を受けた顧客 | 40,000人 |
| 侵害されたデータ | - 氏名 - 電子メールアドレス - 電話番号 - 請求先住所 - アカウントの詳細 |
2024年5月、オーストラリアのエネルギーおよび通信プロバイダーであるSumoは、約4万人の顧客の個人情報を漏洩させるデータ侵害を経験しました。この侵害には、氏名、電子メールアドレス、電話番号、請求先住所、およびアカウントの詳細を含む機密の顧客データへの不正アクセスが含まれていました。この情報は、身元盗用、フィッシングスキーム、およびその他の悪意のある活動に悪用される可能性があります。
侵害は、Sumoのシステム内で異常なアクティビティが検出されたときに発見され、即座に調査が行われました。クレジットカードの詳細などの財務情報が侵害されたデータの一部であるとは報告されていませんでしたが、暴露された情報は影響を受けた顧客をリスクにさらすのに十分でした。Sumoは顧客に対し、特に予期しない通信に関して警戒を怠らず、異常なアクティビティがないかアカウントを監視するようアドバイスしました。
侵害に対応して、Sumoは強化されたセキュリティ対策を実施し、サイバーセキュリティの専門家と緊密に協力して、将来の攻撃に対する防御を強化しました。
4. クレデンシャルスタッフィングの増大する脅威:すべての企業にとって重要な理由#
これまでに、多くの企業が侵害され、ほぼすべてのオーストラリア人のデータがおそらく侵害の1つに含まれていることを見てきました。では、侵害された組織がすぐにすべてのパスワードを変更したとしても生じる脅威に焦点を当ててみましょう。最大の懸念事項はおそらくクレデンシャルスタッフィングです。
4.1 クレデンシャルスタッフィングとは何か?#
クレデンシャルスタッフィングは、ハッカーが自動化されたツールを使用して、過去のデータ侵害から調達した大量のユーザー名とパスワードの組み合わせを試し、ユーザーアカウントへの不正アクセスを獲得するサイバー攻撃の一種です。ランダムな組み合わせを試すブルートフォース攻撃とは異なり、クレデンシャルスタッフィングは、多くの人が複数のサイトでパスワードを使い回しているという事実に依存しています。これにより、攻撃者はある侵害で漏洩したログイン資格情報を使用して他のプラットフォームのアカウントを標的にすることで、アカウントを侵害しやすくなります。
2023年7月から12月までの通知対象データ侵害レポートより引用
4.2 データ侵害とクレデンシャルスタッフィングの関係#
データ侵害は、クレデンシャルスタッフィング攻撃の主要な燃料です。企業のデータベースが侵害されると、ユーザー名、電子メールアドレス、およびパスワードを含む盗まれた資格情報が、ダークウェブのフォーラムで販売または共有される可能性があります。その後、サイバー犯罪者はこれらの資格情報を使用して他のサービスに対してクレデンシャルスタッフィング攻撃を仕掛けます。ユーザーの大部分が異なるサイト間でパスワードを使い回していることを知っているからです。
例えば、ユーザーの電子メールとパスワードがソーシャルメディアサイトの侵害で暴露された場合、攻撃者は同じ資格情報を使用して、ユーザーの銀行、ショッピング、または電子メールアカウントへのアクセスを試みる可能性があります。これは、直接侵害されていない企業であっても、重大な経済的損失、身元盗用、および機密情報への不正アクセスにつながる可能性があります。
4.3 なぜクレデンシャルスタッフィングがすべての企業にとって懸念事項なのか#
あなたの企業がデータ侵害を経験したことがない場合でも、クレデンシャルスタッフィングによって引き起こされる侵害のリスクに依然としてさらされています。他の侵害からの資格情報を使用する攻撃者は、ユーザーアカウントを標的にして、機密データにアクセスしたり、不正なトランザクションを行ったり、システムを侵害したりする可能性があります。これはセキュリティ上の脅威をもたらすだけでなく、ブランドの評判を傷つけ、詐欺や顧客の解約による財務上の損失につながる可能性があります。
オーストラリアの通知対象データ侵害スキームの下では、企業はデータが侵害された場合、個人に通知する必要があります。しかし、クレデンシャルスタッフィングの影響は単なるユーザーへの通知を超えて広がります。企業は、多要素認証(MFA)の導入、不審なログイン試行の監視、悪用される前に侵害された資格情報を検出するツールの使用など、より強力なセキュリティ対策を導入することで、これらの攻撃を未然に防ぐために積極的に行動する必要があります。
4.4 クレデンシャルスタッフィングからの保護#
個人向けには、Have I Been Pwnedのようなツールを使用すると、自分の電子メールアドレスがデータ侵害に関与しているかどうかを確認でき、身を守るための措置を講じるのに役立ちます。企業は、ドメインが侵害されたアカウントに関連付けられているかどうかを確認できるHudsonRockのような同様のリソースを使用して、潜在的なクレデンシャルスタッフィング攻撃の早期警告サインを提供できます。
5. オーストラリアはクレデンシャルスタッフィングによる重大な脅威に直面している#
オーストラリアは不幸にも、一人当たりのデータ侵害発生率が世界で最も高い国の1つであるという特徴を持っています。上記で概説した最近の侵害の分析は、国内で最大かつ最も信頼されている組織のいくつかでさえ、サイバー攻撃の犠牲になっていることを明らかにしています。このような機密データの広範な暴露は、特に複数のプラットフォームにわたって習慣的にパスワードを使い回しているユーザーにとって、クレデンシャルスタッフィング攻撃のリスクを大幅に高めます。
通信プロバイダー、金融サービス、教育機関を含む主要な機関での大規模な侵害を考慮すると、膨大な数のオーストラリアの資格情報がダークウェブに出回っている可能性が非常に高いです。これらの侵害された資格情報はサイバー犯罪者によって悪用され、さまざまなアカウントへの不正アクセスを獲得し、個人とビジネスの両方に深刻な脅威をもたらします。
さらに、市民がオンラインで政府のサービスを利用できるようにするオーストラリアの高度な電子政府インフラストラクチャは、攻撃者にとって魅力的な標的となっています。政府プラットフォーム内の高度なデジタル化により、これらはクレデンシャルスタッフィング攻撃の主要な焦点となり、オーストラリアのすべてのセクターにわたって堅牢なサイバーセキュリティ対策の必要性がさらに強調されています。
6. パスキーがデータ侵害とクレデンシャルスタッフィングを防ぐのにどのように役立つか#
パスキーは、データ侵害やクレデンシャルスタッフィングにつながることが多い脆弱性に対する素晴らしい解決策です。これらは、ユーザーのデバイスに保存されている秘密鍵と、サーバーに保存されている公開鍵の組み合わせを使用します。ハッカーがユーザーの公開鍵を取得したりサーバーを侵害したりしても、ユーザーのデバイス(TPMまたはセキュアエンクレーブ内)に安全に保存されている対応する秘密鍵なしではログインできません。
パスキーはクレデンシャルスタッフィング攻撃も効果的に防ぎます。パスキーには複数のサイトで使い回すことができるパスワードが含まれていないため、クレデンシャルスタッフィングの前提全体が時代遅れになります。ハッカーが他の侵害されたサイトからログイン情報を取得したとしても、パスキーで保護されたアカウントへのアクセスには使用できません。オーストラリアのようなデータ侵害の発生率が高い国では、大量の潜在的に侵害された資格情報がダークウェブで利用可能であることを意味するため、これは特に重要です。
データ侵害とクレデンシャルスタッフィングを防ぐためのパスキーの展開がどのように見えるかを見てみましょう。そのため、4つのフェーズで作業することをお勧めします。
-
フェーズ:パスキーの導入
最初のフェーズでは、パスキーを製品に統合し、アカウント設定でプロアクティブにパスキーの作成を提供し、従来のログイン方法でユーザーが正常にログインした場合にも提供します(自動パスキーアップグレードも参照)。
-
フェーズ:ユーザーにパスキーを主要な認証方法として使用させる
可能な限り頻繁に、そして主要な認証方法としてパスキーをログインに使用することを奨励するパスキーファーストの思考を適用します。従来の認証は引き続き提供されますが、積極的に推進されることはありません。
-
フェーズ:パスキーのフォールバックおよび回復のためだけに他の認証オプションを提供する
パスキー対応ではないデバイスでのみ、パスキーが利用できない場合、またはユーザーがパスキーのログインプロセスをキャンセルした場合は、既存の認証方法を使用できます。 -
フェーズ:システムからパスワードを削除して全体的なセキュリティを向上させる
パスキーの採用率が十分に高くなったら、セキュリティをさらに向上させ、漏洩した資格情報を無効にするために、パスワードの削除を開始できます。
7. 結論#
オーストラリアがますます多くのデータ侵害に直面する中、クレデンシャルスタッフィングの脅威は組織と個人の両方にとって重大な懸念事項となっています。さまざまなセクターにわたる機密情報の広範な暴露は、より強力なサイバーセキュリティ対策の緊急の必要性を浮き彫りにしています。高度なセキュリティ機能を備えたパスキーは、これらの課題に対する有望なソリューションを提供し、従来のパスワードベースのシステムに関連するリスクを効果的に軽減します。パスキーのような革新的な技術を取り入れることで、オーストラリアはサイバー脅威に対する防御を強化し、市民や企業のデジタルアイデンティティを保護することができます。私たちが前進するにつれて、組織と個人の両方が警戒を怠らず、進化し続けるデジタル環境でデータを保護するためのベストプラクティスを採用することが重要です。
Corbadoについて
Corbadoは、大規模なconsumer認証を運用するCIAMチームのためのPasskey Intelligence Platformです。IDPのログや一般的なanalyticsツールでは見えないものを可視化します。どのデバイス、OSバージョン、ブラウザ、credential managerがpasskeyに対応しているか、なぜ登録がログインにつながらないのか、WebAuthnフローのどこで失敗するか、OSやブラウザのアップデートがいつ静かにログインを壊すか — Okta、Auth0、Ping、Cognito、あるいは自社IDPを置き換えることなく、すべてを把握できます。2つのプロダクト:Corbado Observeは passkeyとその他あらゆるログイン方式のobservabilityを提供します。Corbado Connectは analytics内蔵のmanaged passkeyを追加します(既存のIDPと併用)。VicRoadsはCorbadoで500万人超のユーザーにpasskeyを提供しています(passkey有効化率+80%)。 Passkeyエキスパートに相談する →
よくある質問#
影響を受けたユーザー数によるオーストラリアの歴史上最大のデータ侵害は何ですか?#
2019年5月のCanvaの侵害はボリュームで最大であり、暗号化されたパスワードと一部の支払いデータを含む、世界中で1億3,700万のユーザーアカウントを危険にさらしました。「Gnosticplayers」として知られる攻撃者は操作の途中で検出されましたが、阻止される前にすでに大量のデータを流出させていました。
他社のデータ侵害が、私の組織をクレデンシャルスタッフィングの危険にさらすのはなぜですか?#
クレデンシャルスタッフィング攻撃は、ある侵害から盗まれたユーザー名とパスワードの組み合わせを使用して、完全に異なるプラットフォームでログインを試み、サイト間でパスワードを使い回すという広範な習慣を悪用します。あなたの組織が直接侵害されたことがなくても、攻撃者は無関係な侵害から調達され、ダークウェブのフォーラムで販売された資格情報を使用してユーザーのアカウントを標的にすることができます。
データ侵害後、オーストラリアの企業にはどのような法的義務がありますか?#
オーストラリアの通知対象データ侵害スキームの下では、企業は個人データが侵害された場合、影響を受けた個人に通知する必要があります。怠慢なセキュリティ慣行の結果は深刻になる可能性があります:Medibankの侵害調査は、最大21.5兆米ドルもの罰金の可能性を提起し、不適切なサイバーセキュリティ対策による莫大な財務リスクを示しています。
オーストラリアのデータ侵害で、医療機関や金融機関が特に標的にされるのはなぜですか?#
医療機関および金融機関は、医療記録、政府のID、財務の詳細など、ブラックマーケットでプレミアム価格がつくデータを保持しています。2024年5月のMediSecureのランサムウェア攻撃は、1,290万人のオーストラリア人の健康情報を暴露し、財政的に壊滅的であったため、同社はその後管理下に置かれることを余儀なくされました。
この記事を共有
関連記事
目次