📖
トリニティとして知られるハッカーグループによる税務庁(AEAT)への攻撃疑惑のニュースは、スペインで前例のない警戒を引き起こした。 560 GB の納税者データが、その情報を暴露すると脅す犯罪者の手に渡っている可能性を前に、私たちスペイン人は、今後数か月以内に詐欺やソーシャル エンジニアリングの大ブームに直面しなければならない可能性を熟考しなければなりません。
この攻撃について私たちは何を知っていますか?
Trinity サイバー犯罪グループは、すでに国際レベルでの攻撃歴があり、AEAT システムへの大規模なアクセスを達成したと主張しています。通常の手口によれば、最初にデータを窃取し、次に侵害されたシステムを暗号化して、対応するキーがなければファイルを使用不能にするランサムウェアを使用することになるでしょう。
この際、このグループは560 GBの重要な情報を誘拐したと主張しているが、国税庁はその公式発表によれば、そのシステム内でいかなる事件も検出したことを否定している(スペインの複数のメディアは内部情報源を引用してこれに矛盾していると主張している)。システムへのアクセス経路として考えられるもののうち、サイバーセキュリティの専門家は 2 つの主な仮説を指摘しています。
- 「Sara」ネットワーク経由:さまざまな公共機関を接続する通信インフラ。 AEAT はこのネットワークから隔離された状態を維持するための措置を講じていますが、Sara に関連する他のエンティティの脆弱性の歴史は、AEAT が国税局にアクセスするゲートウェイとして使用された可能性を示唆しています。
- 内部攻撃または「インサイダー」攻撃: 一部の専門家によると、内部エージェントの関与または侵害された従業員の資格情報の使用が攻撃の規模を説明する可能性があります。
漏洩による潜在的な影響
2017 年の米国信用調査機関 Equifax への攻撃により、数カ国の 1 億 5,000 万人の納税者のデータが流出し、その影響は壊滅的でした。盗まれたデータは、事件から何年も経った今でも詐欺やなりすましに使用されています。
国税庁は、機密性が高いだけでなく、何百万もの国民や企業の経済的および個人の安全にとって重要な情報を扱います。この規模の漏洩は、さまざまな分野で複数の問題を引き起こす可能性があります。
1) 大規模な恐喝や恐喝
流出したデータには次のものが含まれる可能性があります。
- 所得税申告書。
- 銀行業務と資産情報。
- 詳細な金融動向。
- 住所、納税者番号、連絡先などの個人データ。
この情報を使用して、攻撃者は国民や企業に直接連絡し、納税状況、税金不正の実際または疑惑、または恐喝に使用できるその他の情報を暴露すると脅迫する可能性があります。これにより、各納税者が潜在的な標的となる大規模な恐喝モデルへの扉が開かれます。
2) 金融詐欺と個人情報の盗難
税金や銀行のデータへのアクセスにより、国民は金融詐欺の格好のターゲットになります。考えられる影響には次のようなものがあります。
- 不正なローンとクレジット: 攻撃者はその情報を利用して、被害者に代わってクレジットを申請したり購入したりする可能性があります。
- 銀行口座へのアクセス: アクセス資格情報または財務データが侵害された場合、口座が空になったり、違法な取引が実行されたりする可能性があります。
- 個人情報の盗難: 犯罪者は、名前、住所、身分証明書、納税データを使用して、口座開設から第三者への詐欺まで、さまざまな目的で被害者になりすます可能性があります。
3) 犯罪行為や組織的サイバー犯罪への利用
盗まれたデータは闇市場で他の悪意のある行為者に販売され、次のようなことが奨励される可能性があります。
- 新たなサイバー攻撃: データは、スピア フィッシングや主要セクターを標的としたキャンペーンなど、より特殊な攻撃に使用される可能性があります。
- 産業または政治的スパイ活動: 大規模な税務データベースには、著名人、政治家、戦略的企業に関する情報も含まれており、スパイ行為や操作の武器となる可能性があります。
- ダークウェブでのマスマーケティング: 流出したデータは世界中の犯罪者にとって切望される商品となり、すでに年間数十億ユーロを生み出す違法市場を刺激する可能性があります。
4) 法的および規制上の影響
この規模の漏洩は、AEAT とその他の関連公共団体の両方に重大な法的影響を与える可能性があります。
- GDPR (一般データ保護規則) 違反に対する罰金: AEAT が個人データを保護するために十分な措置を講じなかったことが証明された場合、数百万ドルの罰金が科せられる可能性があります。 (しかし、「我々は皆財務省である」ので、この種の罰金は国が我々のお金で支払うことを意味するだけです)。
- 集団訴訟: 影響を受けた国民や企業は、生じた損害の賠償を求める法的措置を講じる可能性があります。
- 国家安全保障プロトコルの見直し: この事件は、すべての行政機関におけるサイバーセキュリティ政策の全般的な再構築を促す可能性があり、これは多額の投資とサービス中断の可能性を意味します。
国民の役割: 起こり得る結果から身を守る
この規模の攻撃に直面した場合、国民が個人データの漏洩によって起こり得る結果から身を守るために積極的な措置を講じることが重要です。サイバー犯罪者による侵害された情報への最初のアクセスを防ぐことはできませんが、影響を最小限に抑え、そのデータの悪用を防ぐための戦略がいくつかあります。国民が実行できる一連の行動は以下のとおりです。
金融口座と活動の監視
税務データ侵害の主な脅威の 1 つは、財務上の詐欺の可能性です。自分自身を守るために:
- 銀行やクレジット カードの明細を定期的に確認します。疑わしい取引を特定し、直ちに金融機関に報告します。
- アクティビティ アラートを設定する:多くの銀行では、口座内の異常な動きに対する自動通知を有効にすることができます。
- 信用履歴の管理:専門機関に信用報告書を要求し、不正な口座開設やローン申請を検出します。
個人データを保護する
データの漏洩はフィッシング活動を促進する可能性があります。リスクを軽減するには:
- ソーシャル ネットワークで共有される情報には注意してください。住所や生年月日など、漏洩情報と矛盾する可能性のある個人データは公開しないでください。
- 公式な通信を確認する:税務署または他の機関からのものと思われる電子メール、電話、またはメッセージを受け取った場合は、公式チャネルを通じて直接その信憑性を確認してください。
暴露された場合は迅速に行動する
国民が自分のデータが漏洩または悪用されたのではないかと疑う場合、迅速に行動することが重要です。
- 詐欺の報告:不審な行為やなりすましの試みがあった場合は、直ちに管轄当局 (警察、民間警備隊、またはスペインの INCIBE) に通知してください。
- 侵害されたアカウントをブロックする:銀行、デジタル プラットフォーム、または税務機関に連絡して、アクセスを凍結または回復します。
- 忘れられる権利を要求する:漏洩したデータがインターネット上に公開された場合は、データ保護法などの利用可能な法的手段を通じて削除を要求します。