Last Updated on 2025-05-03 10:07 by admin
2024年7月に発生したディズニーのSlackデータ流出事件について、犯人の正体が明らかになった。当初、「NullBulge(ヌルバルジ)」を名乗るロシアのハクティビスト集団の犯行と思われていたが、実際はカリフォルニア州サンタクラリータ在住の25歳の男性、ライアン・ミッチェル・クレイマーであることが判明した。
クレイマーは2024年初頭、AIアート生成アプリを装ったマルウェアをGitHubなどのオンラインプラットフォームに公開した。2024年4月から5月の間に、ディズニーの従業員がこのプログラムをダウンロードしたことで、クレイマーは被害者のコンピュータにリモートアクセスし、パスワード管理ツール「1Password」から個人および仕事用アカウントのログイン認証情報を入手した。
これを利用して、クレイマーはディズニーのSlackワークスペースに侵入し、数千のチャンネルから約1.1テラバイト(TB)の機密データをダウンロードした。このデータには、未公開プロジェクト情報、画像とコード、ログイン情報、内部APIやウェブページへのリンク、テーマパークやストリーミングサービスの収益情報など、通常は投資家にも開示されない機密情報が含まれていた。
2024年7月、クレイマーは被害者マシュー・ヴァン・アンデル氏にメールとDiscordで連絡を取り、「NullBulge」というロシアのハクティビスト集団のメンバーを装って脅迫した。被害者から返信がなかったため、2024年7月12日にディズニーのデータと被害者の銀行、医療、個人情報をオンラインで公開した。
流出したデータには、4,400万件のメッセージ、18,800以上のスプレッドシート、13,000以上のPDFファイル、顧客の個人情報、従業員のパスポートデータ、テーマパークとストリーミングの収益数値、会社ウェブサイトの維持管理に関する会話、ソフトウェア開発、求職者情報、2019年までさかのぼる従業員のペットの写真などが含まれていた。
2025年5月1日、クレイマーは「コンピュータにアクセスして情報を取得した罪」と「保護されたコンピュータを損傷すると脅迫した罪」の2つの重罪について有罪を認める合意をした。各罪状は最大5年の懲役刑に相当し、合計で最大10年の連邦刑務所での服役に直面する可能性がある。
クレイマーは、同様の手法で少なくとも他の2人の被害者のコンピュータとアカウントにもアクセスしたことを認めている。FBIによる捜査は継続中であり、クレイマーは今後数週間以内にロサンゼルスの連邦裁判所に出廷する予定である。
from:Disney Slack attack wasn’t Russian protesters, just a Cali dude with malware
【編集部解説】
今回のディズニーSlackハッキング事件は、サイバーセキュリティの世界における「ソーシャルエンジニアリング」と「サプライチェーン攻撃」の危険性を浮き彫りにした事例です。検索結果から得られた情報を総合すると、この事件の全体像がより明確になります。
まず注目すべきは、攻撃者が用いた手法です。クレイマー被告は、AIアート生成ツールという時流に乗った偽装を施したマルウェアを配布しました。AIへの関心が高まる中、こうした新技術を試してみたいというユーザーの好奇心を巧みに利用した手口と言えるでしょう。
実際の攻撃プロセスを見ると、マルウェアを通じて被害者のパスワード管理ツール「1Password」にアクセスし、そこから認証情報を入手するという多段階の侵入経路を確立していました。これは単なる「フィッシング」を超えた、より高度な攻撃手法です。
また興味深いのは、クレイマー被告が「NullBulge」というロシアのハクティビスト集団を装い、イデオロギー的な動機を偽装した点です。これは「偽旗作戦」(false flag operation)と呼ばれる戦術で、捜査の方向性を意図的に誤らせる狙いがあったと考えられます。
被害者のマシュー・ヴァン・アンデル氏の対応も注目に値します。脅迫に屈せず、直ちに当局に通報したことで、最終的な犯人特定につながりました。しかし、その結果として個人情報が暴露されるという報復を受けることになりました。
この事件が企業のセキュリティ対策に与えた影響も大きいでしょう。ディズニーは今回の事件を受けて、セキュリティ対策の見直しを迫られたことは間違いありません。
さらに、流出したデータの内容も重要です。テーマパークのGenie+チケット販売、価格戦略、Disney+ストリーミングの収益など、通常は投資家にも開示されない機密情報が含まれていました。こうした情報漏洩は、企業の競争力や市場での立ち位置に直接影響する可能性があります。
今回の事件は、AIブームに便乗したサイバー攻撃の新たなトレンドを示唆しています。新技術への関心が高まるほど、それを悪用した攻撃も増加する傾向にあります。企業や個人は、特に新しいツールやアプリケーションを導入する際には、その出所と信頼性を十分に確認する必要があるでしょう。
また、パスワード管理ツールの安全性についても再考を促す事例と言えます。便利さと引き換えに、「すべての鍵を一つの場所に保管する」リスクも存在することを認識すべきでしょう。
今後の対策としては、多要素認証の徹底、不審なソフトウェアのダウンロード制限、従業員への定期的なセキュリティ教育などが重要になります。特に、新しい技術やツールに対する興味から生じる「セキュリティの盲点」に注意を払う必要があります。
この事件は、デジタル時代における「信頼」の脆弱性を示す事例として、私たちに重要な教訓を残しています。技術の進化とともに、私たちのセキュリティ意識も進化させていく必要があるのです。
【用語解説】
NullBulge(ヌルバルジ):
2024年に活動が確認されたハッカー集団を自称するグループ。アーティストの権利保護を主張し、AIアートに反対する立場を取っていた。実際には、カリフォルニア州在住の25歳の男性、ライアン・ミッチェル・クレイマーの単独犯行だった。
Null(ヌル):
プログラミング用語で「何もない」「空」を意味する。データが存在しない特殊な状態を表す。ハッカー名の「NullBulge」の一部として使用されている。
ソーシャルエンジニアリング:
技術的な手段ではなく、人間の心理的な隙や社会的関係を利用して情報を不正に入手する手法。例えば、信頼できる人物や組織になりすまして情報を引き出すなど。今回の事件では、AIアート生成アプリを装ったマルウェアを配布するという手法が用いられた。
Slack(スラック):
ビジネス用チャットツール。チーム内のコミュニケーションや情報共有を効率化するためのプラットフォーム。チャンネルと呼ばれる話題ごとの会話スペースを作成できる。ディズニーでは社内コミュニケーションにこのツールを使用していた。
1Password:
パスワード管理ツール。複数のアカウントのパスワードを一元管理できるアプリケーション。今回の事件では、被害者のこのツールが侵害され、多数のログイン認証情報が流出した。
【参考リンク】
ディズニー公式サイト(外部)
ウォルト・ディズニー・カンパニーの日本公式サイト。映画、テーマパーク、商品などの情報を提供している。
Slack公式サイト(外部)
ビジネスコミュニケーションプラットフォーム「Slack」の公式サイト。機能や料金プランの説明がある。
1Password公式サイト(外部)
パスワード管理ツール「1Password」の公式サイト。安全なパスワード管理の方法や機能について説明している。
FBIサイバー犯罪対策部門(外部)
米国連邦捜査局(FBI)のサイバー犯罪対策に関する情報を提供するサイト。
【参考動画】
【編集部後記】
皆さんは、普段使っているアプリやソフトウェアの出所をどのように確認していますか?今回のディズニーの事例は、AIブームに便乗した新たなサイバー攻撃の形を示しています。「試してみたい」という好奇心と「セキュリティリスク」は常に隣り合わせです。新しいAIツールを探索する際、どんな点に注意していますか?また、パスワード管理ツールを使用している方は、多要素認証などの追加セキュリティ対策も併用されているでしょうか?ぜひSNSでご意見やご経験をシェアしていただけると嬉しいです。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
