innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

ノバスコシア電力、ランサムウェア攻撃で28万人の顧客データ流出 – 身代金支払い拒否も銀行口座情報が漏洩

ノバスコシア電力、ランサムウェア攻撃で28万人の顧客データ流出 - 身代金支払い拒否も銀行口座情報が漏洩 - innovaTopia - (イノベトピア)

Last Updated on 2025-05-25 21:55 by admin

カナダのノバスコシア州最大の電力会社であるノバスコシア電力(Nova Scotia Power)は2025年5月23日、ランサムウェア攻撃を受け、28万人の顧客データが流出したことを正式に確認した。

攻撃の経緯と発覚

攻撃開始日:2025年3月19日頃
発覚日:2025年4月25日
データ流出確認:2025年5月1日
公式発表:2025年5月23日

被害規模と流出データ

影響を受けた顧客数は28万人(全顧客50万人のうち)で、流出した可能性のある情報には氏名、電話番号、メールアドレス、住所、生年月日、顧客アカウント履歴(電力消費量、サービス要請、支払い、請求、信用履歴、顧客対応)、運転免許証番号、社会保険番号、自動支払い登録者の銀行口座番号が含まれる。

企業の対応

ノバスコシア電力は身代金の支払いを拒否した。この決定は制裁法の評価と法執行機関のガイダンスに基づく判断とされている。顧客への補償として、TransUnionクレジット監視サービス2年間無料提供を実施する。現在も請求・支払いシステム、MyAccount顧客ポータル、オンライン停電報告サービスがオフラインとなっている。

企業情報と現在の状況

ノバスコシア電力は親会社エメラ(Emera Inc.)傘下の電力会社で、顧客数は50万人。現時点で犯行声明を出したランサムウェアグループは確認されておらず、外部のサイバーセキュリティ企業と連携して調査を継続中である。攻撃後、ノバスコシア電力を装った偽の電話、テキスト、ソーシャルメディア投稿、ウェブサイトが急増している。

References:
文献リンクRansomware scum leaked Nova Scotia Power customers’ info

【編集部解説】

今回の事案は、重要インフラに対するサイバー攻撃の新たな局面を示しています。従来、電力会社などの公益事業者は「支払いに応じやすい」とされてきましたが、ノバスコシア電力が身代金の支払いを拒否したことは注目に値します。

これは制裁法への配慮と法執行機関のガイダンスに基づく判断とされていますが、実際には政府レベルでの「ランサムウェアへの不屈服」方針が浸透している証拠でもあります。日本でも2024年6月に九州電力グループのキューヘンがランサムウェア攻撃を受け、約10万4000件の個人情報流出が発生しており、電力業界全体が標的となっている状況が浮き彫りになっています。

流出したデータの種類を見ると、従来の個人情報に加えて「電力消費パターン」「サービス利用履歴」といった行動データも含まれています。これらの情報は単体では価値が低く見えますが、組み合わせることで個人の生活パターンや経済状況を詳細に推測可能になります。

特に自動支払い利用者の銀行口座情報が含まれている点は深刻です。これにより二次的な金融犯罪のリスクが高まっており、同社が2年間のクレジット監視サービスを提供する判断は妥当といえるでしょう。

過去のウクライナ電力システム攻撃(2015年、2016年)では、攻撃者が6ヶ月以上をかけて標的企業を調査し、最終的にHMI(ヒューマンマシンインタフェース)から変電所のブレーカーを不正操作して停電を引き起こしました。今回のノバスコシア電力の事案でも、3月から5月にかけて段階的に攻撃が進行しており、類似の手法が用いられた可能性があります。

今回の事案は、カナダだけでなく世界各国の重要インフラ保護政策に影響を与える可能性があります。特に「データ流出から公表まで2ヶ月」という期間は、多くの国で議論されている「迅速な情報開示義務」の基準見直しにつながるかもしれません。

また、電力会社が身代金支払いを拒否したことで、今後の攻撃者は「データ暴露」により重点を置く戦術にシフトする可能性も考えられます。これは被害者企業にとってより深刻な評判リスクをもたらすことになるでしょう。

【用語解説】

ランサムウェア:
コンピューターのファイルを暗号化して使用不能にし、復旧と引き換えに身代金を要求するマルウェアの一種。「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語である。

HMI(ヒューマンマシンインタフェース):
人間と機械の間でやり取りを仲介するインタフェース。電力システムでは、オペレーターが発電所や変電所の機器を監視・制御するためのコンピューター画面やタッチパネルを指す。

ノバスコシア電力(Nova Scotia Power):
カナダ・ノバスコシア州の電力会社。顧客数50万人。州内の95%の電力供給を担う独占的地位にある。

エメラ(Emera Inc.):
ノバスコシア電力の親会社。カナダ・ハリファックスに本社を置く北米の大手エネルギー企業。フロリダ、大西洋カナダ、ニューメキシコ、カリブ海地域で260万人の顧客にサービスを提供。

【参考リンク】

ノバスコシア電力公式サイト(外部)
同社の電力サービス、料金プラン、停電情報などを提供する公式ウェブサイト

エメラ投資家向けサイト(外部)
親会社エメラの財務情報、事業戦略、株主向け情報を掲載

経済産業省 電力分野サイバーセキュリティ政策(外部)
日本の電力分野におけるサイバーセキュリティ政策の動向と対策を解説

【編集部後記】

今回のノバスコシア電力の事案を見て、皆さんはご自身の電力会社のセキュリティ対策について考えたことはありますか?日本でも2024年に九州電力グループがランサムウェア攻撃を受けており、決して他人事ではありません。もし同様の攻撃を受けた場合、私たちの生活パターンや支払い情報はどこまで守られるのでしょうか。また、重要インフラへのサイバー攻撃が増加する中、企業の「身代金を払わない」という判断についてどう思われますか?

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

投稿者アバター
TaTsu
デジタルの窓口 代表 デジタルなことをまるっとワンストップで解決 #ウェブ解析士 Web制作から運用など何でも来い https://digital-madoguchi.com
自己紹介の全文を表示
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » ノバスコシア電力、ランサムウェア攻撃で28万人の顧客データ流出 – 身代金支払い拒否も銀行口座情報が漏洩

Recommend