攻撃者がディズニーから1.1TBのデータ窃取と主張、内部協力者が関与の可能性

画像提供：マイナビニュース

Malwarebytesは7月15日(米国時間)、「Disney "breached", data dumped online｜Malwarebytes」において、ウォルト・ディズニー・カンパニーから内部データが漏洩したと報じた。これはハクティビストを自称する脅威グループ「NullBulge」が、X(旧Twitter)へ1.1TBのSlackデータを窃取したと投稿したことで明らかになった。

○漏洩データの内容

脅威グループはX(旧Twitter)に投稿した直後、侵害フォーラムにデータ窃取の概要を投稿した。Xおよびフォーラムの投稿によると、漏洩したデータはディズニー開発チームが使用しているコミュニケーションツール「Slack」のデータとされる。

データサイズは合計で1.1TBとされ、10,000チャネルのすべてのメッセージとファイルを含むという。脅威グループはメッセージやファイルに次のデータが含まれると主張している。

未公開プロジェクト
画像とコード
複数のログイン情報
内部アプリケーション・プログラミング・インターフェイス(API: Application Programming Interface)およびWebページへのリンク

○侵害の経緯と対応

脅威グループはXへ次のようなメッセージを投稿しており、内部協力者の存在や、漏洩データに個人情報が含まれる可能性を示唆している。

われわれは深く侵入するまで我慢しようとしたが、内部の人間が怖気づいて追い出されてしまった。内部協力者は特別な何かを持っていると思っていた。ログイン情報、クレジットカード、社会保障番号(SSN: Social Security number)などの個人情報の公開は、将来の人々への警告と捉えてほしい。

これまでのところ、ディズニーは公式の声明を発表していない。漏洩したデータに個人情報などが含まれる場合は、速やかな情報公開と適切な対応が望まれる。
（後藤大地）