五輪に忍び寄るサイバー攻撃、スポーツ業界も狙うランサムウェア

画像提供：マイナビニュース

ESETは3月28日(現地時間)、「Cybercriminals play dirty: A look back at 10 cyber hits on the sporting world」において、過去スポーツ業界で発生したサイバー攻撃うち、特に注目すべき事案について伝えた。今夏に開催予定のパリ五輪に対し、サイバー攻撃の脅威が高まっているとして注意を呼びかけている。

○スポーツに関連したセキュリティインシデント

ESETはスポーツに関連したセキュリティインシデントとして、10件の概要を解説している。それらのうち、同種の攻撃をまとめた概要は次のとおり。
○1.ビジネスメール詐欺

2020年に英国立サイバーセキュリティセンター(NCSC-UK: United Kingdom's National Cyber Security Centre)が公開したスポーツ組織に関連したサイバー脅威レポート「(PDF) The Cyber Threat to Sports Organisations」によると、スポーツ組織の最大の脅威はビジネスメール詐欺(BEC: Business Email Compromise)だという。レポートではその事例として、非公開のプレミアリーグクラブの事案を挙げている。

レポートによると、クラブのマネージング・ディレクターがスピアフィッシング攻撃を受け、Office 365の偽のログインページから認証情報を窃取された。このときクラブは100万ポンド(約130万米ドル)の選手移籍交渉の最中だったとされる。脅威アクターは移籍金の情報を知ると、これを窃取するためビジネスメール詐欺を試みたが銀行の介入を受けて失敗している。

2018年にイタリアのプロサッカークラブ「ラツィオ・ローマ」においても同様の事案が発生している。こちらでは被害を回避できず、250万ドル相当の移籍金を窃取されている。
○2.ランサムウェア

2020年11月、イングランドのプロサッカークラブ「マンチェスター・ユナイテッド」がランサムウェアの被害に遭い、クラブの運営に支障を来す事態となった。同クラブは身代金を支払うことなく被害を軽減し、最終的にシステムを復元している。

2023年4月、王立オランダサッカー協会(KNVB: Koninklijke Nederlandse Voetbalbond)がサイバー攻撃を受け、組織の従業員と関係者、合わせて120万人以上の機密情報を窃取された。この攻撃はランサムウェア「LockBit」によるものとされる。同協会は2023年9月に身代金を支払ったことを公表している。
○3.マルウェア