シャイニー・ハンターズ
シャイニー・ハンターズ(英: Shiny hunters)は2020年に組織されたとされる悪質な犯罪ハッカーグループで、多数のデータ侵害に関与しているとされている。盗まれた情報は頻繁にダークウェブで販売される[1][2]。
名称あるいは偽名
[編集]グループの名前は、ポケモンフランチャイズの仕組みであるシャイニーポケモンに由来しているという。ゲームでは、プレイヤーにとって見つけにくい稀に別の色違いで遭遇するポケモンがある[3]。グループに関わるTwitterプロフィールのアバターには、光るポケモンの画像を載せている[3]。
注目すべきデータ侵害
[編集]- AT&T Wireless: 2021年、シャイニー・ハンターズは、利用者の個人情報、社会保障番号、電話番号を含む、7,000万人のAT&Tワイヤレス加入者に関する情報の販売を開始した。2024年にAT&Tはデータ侵害を認めた[4][5][6]
- Tokopedia: 2020年5月2日、トコペディアがシャイニー・ハンターズに侵害され、9100万件の利用者アカウントのデータを保有していると主張、性別、場所、利用者名、フルネーム、メールアドレス、電話番号、ハッシュ化されたパスワードが暴露された[1]
- Wishbone: 2020年5月、また、Wishboneの完全な利用者データベースを漏洩した。このデータベースには、利用者名、メールアドレス、電話番号、居住国/市区町村、ハッシュ化されたパスワードなど、個人情報が含まれるとされる[7]
- Microsoft: 2020年5月、MicrosoftのプライベートGitHubアカウントから500GB超のMicrosoftソースコードを盗んだと表明した。このグループはハッキングされたGitHubアカウントから約1GBのデータをハッキングフォーラムに晒した。サイバーセキュリティ専門家の一部はコード分析を行うまでハッカーの主張を疑っていたが、シャイニー・ハンターズの主張はもはや議論の余地はなかった。Microsoftは声明において、この侵害を認識しているとWIREDに応え、後にGitHubアカウントを保護したが、シャイニー・ハンターズはどのリポジトリにもアクセスできないと報告、これを確認した[8][9][10]
- Wattpad: 2020年7月、2億7000万件の利用者情報を含むen:Wattpadデータベースを入手し、ユーザー名、本名、ハッシュ化されたパスワード、メールアドレス、地理的位置、性別、生年月日が漏洩した[11][12][13]
- Pluto TV: 2020年11月、シャイニー・ハンターズがPluto TVの利用者320万人の個人データを入手したと報告された。利用者の表示名、メールアドレス、IPアドレス、ハッシュ化されたパスワード、生年月日といったデータがハッキングされた[14][15]
- Animal Jam: 2020年11月には、オンラインゲームen:Animal Jamのハッキングに関与し、4,600万件のアカウントの漏洩も報じられた[16][17]
- Mashable: 2020年11月、シャイニー・ハンターズは著名なハッカーフォーラムで5.22GB相当のマッシャブルのデータベースを漏洩した[18]
- Pixlr: 2021年1月、Pixlrの190万件の利用者記録を漏洩した[19]
- Nitro PDF: 2021年1月、シャイニー・ハンターズの一員であると主張するハッカーが、7,700万件の利用者記録を含む編集アプリ、en:Nitro PDFの完全なデータベースをハッカーフォーラムで無料で漏洩した[20]
- Bonobos: また、2021年1月にシャイニー・ハンターズがアパレル企業のBonobosの完全なバックアップクラウドデータベースをハッカーフォーラムに漏洩したと報告された。データベースには、700万人の顧客の住所、電話番号、注文の詳細、加えて180万人の顧客の一般的なアカウント情報、350万件の部分的なクレジットカード記録とハッシュ化されたパスワードが含まれているという[21]
- アディティア・ビルラ・ファッション・アンド・リテール: 2021年12月、インドの小売業者アディティア・ビルラ・ファッション・アンド・リテールが侵入され、身代金を要求された。身代金要求は拒否されたとされ、翌月に540万件の固有のメールアドレスを含むデータが人気のハッキングフォーラムに、氏名、電話番号、住所、生年月日、注文履歴、MD5ハッシュで保存されたパスワードなど、広汎な顧客個人情報が晒された[22]
- Mathway: 2020年1月、シャイニー・ハンターズがMathwayに侵入し、約2,500万人の利用者情報を盗んだ。Mathwayは代数方程式を解くのに役立つ、学生に人気の数学アプリである
- Santander: 2024年5月30日、サンタンデール銀行がシャイニー・ハンターズに侵入され、スペイン、チリ、ウルグアイの全銀行員と顧客3,000万人の情報がハッキングされた。これはらはチケットマスターからのクレジットカード、住所、スタッフ情報であった
他のデータ侵害
[編集]下記は例として挙げられる事象または伝えられるその他のハッキングである。利用者情報の推測値も記す[23][24][25]。
- JusPay - 1億件の利用者記録[26]
- en:Zoosk - 3000万件の利用者記録[27]
- Chatbooks - 1500万件の利用者記録[27]
- SocialShare - 600万件の利用者記録[27]
- en:Home Chef - 800万件の利用者記録[27]
- en:Minted - 500万件の利用者記録[27]
- The Chronicle of Higher Education - 3 million件の利用者記録[27]
- GuMim - 200万件の利用者記録[27]
- Mindful - 200万件n件の利用者記録[27]
- Bhinneka - 120万件の利用者記録[27]
- スター・トリビューン - 100万件の利用者記録[27]
- Dave.com- 750万件の利用者記録[28]
- Drizly.com - 240万件の利用者記録[29]
- Havenly - 130万件の利用者記録[29]
- Hurb.com - 2千万件の利用者記録[30]
- Indabamusic - 475,000 件の利用者記録[30]
- Ivoy.mx - 127,000件の利用者記録[30]
- Mathway - 2,580万件の利用者記録[30]
- Proctoru - 444,000件の利用者記録[29]
- - 2,200万件の利用者記録[31]
- Rewards1- 300万件の利用者記録[30]
- Scentbird - 580万件の利用者記録[29]
- en:Swvl - 400万件の利用者記録[30]
- Glofox - 不明[32]
- Truefire - 60万2千件の利用者記録[29]
- Vakinha - 480万件の利用者記録[29]
- Appen.com - 580万件の利用者記録[29]
- Styleshare - 600万件の利用者記録[30]
- Bhinneka - 120万件の利用者記録[30]
- en:Unacademy - 2200万件の利用者記録[33][34]
- Upstox - 11万件の利用者記録[35]
- Aditya Birla Fashion and Retail - 540万件の利用者記録[30]
訴訟
[編集]シャイニー・ハンターズはトコペディアの侵害に関わり連邦捜査局、インドネシア警察、インド警察の捜査された。トコペディアのCEO兼創設者もTwitterの声明でこれを認めた[36][37]。
en:Minted社は、このグループのハッキングを米国連邦法執行当局に報告し、捜査が行われている[38]。
カリフォルニア州の行政文書では、シャイニー・ハンターズのハッキングにより、アプリWishboneの制作者、Mammoth Mediaが集団訴訟に巻き込まれた経緯が明らかになった[39]。
AAnimal Jamはシャイニー・ハンターズをFBIサイバータスクフォースに通報し、侵害されたすべてのメールに通知する準備があると述べた。また、侵害に関する質問に答えるために、自社サイトにデータ侵害アラートを作成した[40]。
BigBasketは調査のため、2020年11月6日にベンガルール警察に第一情報報告書(FIR)を提出した[41]。
Daveはまた、自社のセキュリティ侵害に関連した同グループに対する調査を開始した。調査は継続中で、同社は地元の司法機関およびFBIと連携している[42]。
Wattpadはこの事件を司法機関に報告し、調査と連携するために第三者セキュリティ専門家を雇ったと述べた[43]。
逮捕
[編集]2022年5月、このグループに所属しているとされたフランス人プログラマー、セバスチャン・ラウルがモロッコで逮捕、アメリカに引き渡された。ラウルは20年から116年の懲役刑に直面していた[44][45]。
2024年1月にラウルは懲役3年の判決を受けて500万ドルの返還が下された[46] 刑期のうち12ヶ月は通信詐欺共謀罪、残りは悪質な個人情報の窃盗罪である[46]。後に36ヶ月の保護観察を受けることになる[46]。西部ワシントン州の検事によれば、ラウルは2年以上は活動していた[46]。
脚注
[編集]- ^ a b “ShinyHunters Is a Hacking Group on a Data Breach Spree” (英語). Wired. ISSN 1059-1028 2021年1月25日閲覧。.
- ^ Cimpanu, Catalin. “A hacker group is selling more than 100 billion user records on the dark web” (英語) 2021年1月25日閲覧。
- ^ a b Hernandez, Patricia (2 February 2016). “One Man's Five-Year Quest To Find A Shiny Pokémon”. Kotaku. 16 December 2017時点のオリジナルよりアーカイブ。15 December 2017閲覧。
- ^ “A Notorious Hacker Gang Claims to Be Selling Data on 70 Million AT&T Subscribers”. GIzmodo (21 August 2021). 26 August 2023閲覧。
- ^ “AT&T finally acknowledged the data breach.”. Bleeping Computer. 26 August 2023閲覧。
- ^ “AT&T acknowledges data breach affecting 51 million people - Panda Security” (12 April 2024). 31 July 2024閲覧。
- ^ Cimpanu, Catalin. “Hacker leaks 40 million user records from popular Wishbone app” (英語). ZDNet. 31 July 2024閲覧。
- ^ “Microsoft's GitHub account breached by threat actors Shiny Hunters”. TechGenix (May 21, 2020). 31 July 2024閲覧。
- ^ “'Shiny Hunters' bursts onto dark web scene following spate of breaches”. SC Media (May 8, 2020). 31 July 2024閲覧。
- ^ “Microsoft's GitHub account hacked, private repositories stolen”. BleepingComputer. 31 July 2024閲覧。
- ^ Deschamps, Tara (2020年7月21日). “Wattpad storytelling platform says hackers had access to user email addresses” (英語). CTVNews. 2021年1月25日閲覧。
- ^ “Wattpad warns of data breach that stole user info | CBC News” (英語). CBC 2021年1月25日閲覧。
- ^ “Wattpad data breach exposes account info for millions of users” (英語). BleepingComputer. 2021年1月25日閲覧。
- ^ “ShinyHunters hacked Pluto TV service, 3.2M accounts exposed” (英語). Security Affairs (2020年11月15日). 2021年1月25日閲覧。
- ^ “3 Million Pluto TV Users' Data Was Hacked, But the Company Isn't Telling Them” (英語). www.vice.com (4 December 2020). 2021年1月25日閲覧。
- ^ “Animal Jam was hacked, and data stolen; here's what parents need to know” (英語). TechCrunch (16 November 2020). 2021年1月25日閲覧。
- ^ “Animal Jam kids' virtual world hit by data breach, impacts 46M accounts” (英語). BleepingComputer. 2021年1月25日閲覧。
- ^ “ShinyHunters hacker leaks 5.22GB worth of Mashable.com database” (5 November 2020). 27 May 2023閲覧。
- ^ Service, Tribune News. “Hacker leaks 1.9 million user records of photo editing app Pixlr” (英語). Tribuneindia News Service. 2021年1月25日閲覧。
- ^ “Hacker leaks full database of 77 million Nitro PDF user records” (英語). BleepingComputer. 2021年1月25日閲覧。
- ^ “Bonobos clothing store suffers a data breach, hacker leaks 70GB database” (英語). BleepingComputer. 2021年1月25日閲覧。
- ^ “Bonobos clothing store suffers a data breach, hacker leaks 70GB database” (英語). RestorePrivacy (11 January 2022). 2022年1月11日閲覧。
- ^ May 2020, Jitendra Soni 11 (11 May 2020). “ShinyHunters leak millions of user details” (英語). TechRadar. 2021年1月25日閲覧。
- ^ July 2020, Nicholas Fearn 29 (29 July 2020). “386 million user records stolen in data breaches — and they're being given away for free” (英語). Tom's Guide. 2021年1月25日閲覧。
- ^ “"Shiny Hunters" Hacker Group Keep 73 Mn User Records on Darknet” (英語). CISO MAG | Cyber Security Magazine (2020年5月11日). 2021年1月25日閲覧。
- ^ “Amazon, Swiggy's payment processor hit by data breach” (英語) 2021年1月5日閲覧。
- ^ a b c d e f g h i j Cimpanu, Catalin. “A hacker group is selling more than 73 million user records on the dark web”. ZDNet. 31 July 2024閲覧。
- ^ “ShinyHunters Offers Stolen Data on Dark Web” (英語). Dark Reading (28 July 2020). 31 July 2024閲覧。
- ^ a b c d e f g “ShinyHunters Offers Stolen Data on Dark Web”. Dark Reading (28 July 2020). 31 July 2024閲覧。
- ^ a b c d e f g h i “ShinyHunters leaked over 386 million user records from 18 companies”. Security Affairs (July 28, 2020). 31 July 2024閲覧。
- ^ “Promo.com data breach impacts 23 million content creators”. The Daily Swig | Cybersecurity news and views (July 28, 2020). 31 July 2024閲覧。
- ^ Taylor, Charlie. “Irish start-up Glofox investigates possible data breach” (英語). The Irish Times 2021年1月25日閲覧。
- ^ Defense, Binary. “Shiny Hunters Group Selling Data Stolen From 11 Different Companies”. 27 May 2023閲覧。
- ^ “Shiny Hunters hackers try to sell a host of user records from breaches”. MalwareTips Community. 31 July 2024閲覧。
- ^ “ShinyHunters dump partial database of broker firm Upstox”. hackread.com (12 April 2021). 31 July 2024閲覧。
- ^ “Who are Shiny Hunters?”. AndroidRookies (May 21, 2020). 31 July 2024閲覧。
- ^ @UnderTheBreach (2020年5月13日). "CEO & Founder of Tokopedia sent a message to all 91,000,000 users in regards to the data breach". 2020年5月13日時点のオリジナルよりアーカイブ。X(旧Twitter)より2024年9月13日閲覧。
- ^ “Minted confirms data breach as Shiny Hunters sell its database” (29 May 2020). 31 July 2024閲覧。
- ^ “Wishbone App Maker Mammoth Media Hit with Class Action Over Data Breach Affecting 40 Million Users”. www.classaction.org (4 June 2020). 31 July 2024閲覧。
- ^ “Animal Jam kids' virtual world hit by data breach, impacts 46M accounts”. BleepingComputer. 31 July 2024閲覧。
- ^ “BIGBASKET, INDIA'S LEADING ONLINE SUPERMARKET SHOPPING, ALLEGEDLY BREACHED. PERSONAL DETAILS OF OVER 20 MILLION PEOPLE SOLD IN DARKWEB | Cyble”. cybleinc.com (7 November 2020). 31 July 2024閲覧。
- ^ “Security incident at Dave”. A Banking Blog for Humans (July 25, 2020). 31 July 2024閲覧。
- ^ “FAQs on the Recent Wattpad Security Incident”. Help Center. 31 July 2024閲覧。
- ^ “Sébastien Raoult, Français incarcéré au Maroc, menacé d'extradition aux Etats-Unis où il risque une lourde peine” (フランス語). lemonde.fr (August 3, 2022). 31 July 2024閲覧。
- ^ “Cybercriminalité: Détenu aux Etats-Unis, le Français Sébastien Raoult espère toujours un "retour en France"” (31 May 2023). 31 July 2024閲覧。
- ^ a b c d Jones, Connor (2024年1月10日). “ShinyHunters chief phisherman gets 3 years, must cough up $5M”. The Register 2024年1月12日閲覧。