Dell(デル)が不正アクセスにより4900万人の個人情報漏洩の可能性
2024 年4月29日と5月9日に海外メディアのDeily DarkWebとBleepingComputerによると、ダークウェブ上で脅威アクターが、パソコンを販売するDell(デル)へ不正アクセスを行い同社の4900万件分の顧客の個人情報を販売していると指摘しました。
Dell(デル)公式も漏洩を認めており、海外、日本問わず顧客へメールで本インシデントを通知しています。
2024年5月15日:追加で情報漏洩の可能性を指摘されました。
2024年9月26日:別の不正アクセスでDellへ漏洩疑惑 2024年9月に3回発生
目次
脅威アクターによる不正アクセス概要
脅威アクターは、 Dell(デル)から 4,900 万件の顧客記録が含まれるとされるデータベースを販売していると主張し、重大なセキュリティインシデントの疑惑が浮上しました。その後 Dell(デル)がインシデントを認め顧客へ通知を開始しています。
漏洩した個人情報のデータには、2017 年から 2024 年の間にDell(デル)の商品を購入した顧客の4900人分の個人情報とそれに関連したシステムの情報が含まれています。
画像引用:Deily DarkWeb
脅威アクターはMenelik
脅威アクターはMenelik という名前でハッキングフォーラムでDell(デル)から窃取したデータを販売しています。
画像引用:Deily DarkWeb
Menelik氏が行った不正アクセスの方法
BleepingComputerのインタビューによるとMenelik氏は自身の不正アクセスの方法について
「注文情報の検索に使用できるパートナー、再販業者、小売業者向けのポータルを発見したため、データを盗むことができた。」
「パートナー登録は申請フォームで記入するだけで非常に簡単だった」と語っています。
APIの脆弱性を悪用しブルートフォース攻撃か
最初に不正アクセスの方法を伝えたTechCrunchによると、Menelik氏は前述したパートナーのポータルサイトのAPIを悪用して個人情報を窃取しています。
Dell(デル)のポータルに「パートナー」として、いくつかの偽名で登録し、
Dell(デル)が彼の「パートナー」アカウントを承認した後、
Menelik氏は7桁の数字と子音のみで構成されたカスタマーサービスタグをブルートフォース攻撃で突破したとしています。
さらに、彼がアクセスを許可されたポータルには「どんな種類の『パートナー』でも」アクセスできたとしています。」
さらに残念なことに、「このポータルサイトへ1分間に5,000件以上のリクエストを送信したが。信じられないかもしれませんが、これをほぼ3週間続けましたが、Dell(デル)は何も気づきませんでした。ほぼ5,000万件のリクエストです。」
同氏はこの脆弱性とDell(デル)の不完全な対策によって、4,900 万件の顧客レコードの情報を収集できたと主張しています。
「私はDell(デル)に複数の電子メールを送信し、脆弱性を通知しました。彼らはすべてを修正するのにほぼ1週間かかりました」とMenelik氏は語っています。
またこのメールにはBleepingComputerへ共有している旨も記載されています。
画像引用:BleepingComputer
Dell(デル)はBleepingComputer に対し、攻撃者の電子メールを受け取ったことを認めましたが、この事件は法執行機関による積極的な捜査となっているため、それ以上の質問には回答しませんでした。
しかし、同社は、脅威アクターの電子メールを受信する前に、すでにその活動を検出していたと主張しています。
漏洩した可能性のある個人情報
デルのサーバーに登録されているとされる最新の情報を含むデータが漏洩した可能性があります。
漏洩したデータには、
・氏名
・住所
・市区町村
・都道府県
・郵便番号
・国
・システムの固有の7桁のサービスタグ
・システムの出荷日(保証開始日)
・保証プラン
・シリアル番号(モニター向け)
・デルの顧客番号
・デルの受注番号など
が含まれています。
脅威アクターは、このデータの唯一の保有者であると主張しており、漏洩の深刻さを裏付けています。
漏洩した膨大なデータの中には、個人購入に関連するデータが約700万件、同社のコンシューマーセグメントの企業に関連するものが約1100万件含まれています。
残りのデータは、企業、パートナー、学校、または特定できない組織に関連するものです。さらに、脅威アクターは、データベースに登録されているシステムの数が最も多い上位5カ国として、米国、中国、インド、オーストラリア、カナダを挙げています。
Dell(デル)の通知内容
BleepingComputerによると、データ侵害について顧客に警告する為に、
「購入に関連する顧客情報を含むDell(デル)のデータが侵害された」と電子メールで送信し始めています。
画像引用:BleepingComputer
BleepingComputerが取得したこのメールには「現在、Dell(デル)からの購入に関連する限られた種類の顧客情報を含むデータベースに関連するインシデントを調査中です」と記載されています。
なおDell(デル)は「関係する情報の種類を考慮すると、お客様に重大なリスクはないと考えています。」とBleepingComputerへ回答しています。
Dell(デル)が不正アクセスされたと主張する個人情報の内容
Dell(デル)は、脅威アクターによって次の情報へ不正アクセスされたと述べています。
- 名前
- 住所
- デルのハードウェアと注文情報(サービスタグ、商品の説明、注文日、関連する保証情報など)
同社は、盗まれた情報には財務情報や支払い情報、電子メールアドレス、電話番号は含まれておらず、法執行機関やフォレンジック調査会社と協力して事件を調査していると強調しています。
Dell(デル)が日本のユーザーにも通知
Itmediaによると2024年5月9日顧客情報が漏えいした可能性があるとユーザーにメールで告知しました。
告知内容には氏名、住所、製品の注文情報について、外部からアクセスされた可能性があるという。
引用
知ると面白い記事
セキュリティクリアランスとは 日本の法案も交えて専門家が解説
ロックビット(LockBit)のリーダー LockBitSupp が特定され起訴