ベトナム国家銀行が管理するベトナム国立信用情報センター(CIC)が大規模なサイバー攻撃を受け、1億6000万件を超える記録が流出したと報告された。この攻撃はハッカー集団ShinyHuntersによるものとされている。
流出したデータセットには氏名、政府・税務識別番号、住所、連絡先詳細、雇用履歴、詳細な信用記録が含まれる。クレジットカード情報などの一部金融データは暗号化されていたが、個人識別情報は平文で暴露された。
ベトナムの人口は1億200万人未満であるため、1億6000万件という数字は個人あたり複数のエントリーが含まれることを示している。
Resecurityによると、攻撃者は身代金要求ではなく、アンダーグラウンドフォーラムを通じてデータの収益化を図っている。CICは銀行や債権者に事件を通知し、ベトナムサイバー緊急対応センター(VNCERT)はShinyHuntersが違法市場でデータを流通させている可能性があると警告した。
ベトナムのサイバーセキュリティ機関は国有技術パートナーとともに攻撃経路の特定と追加被害防止に取り組んでいる。
From: 
ShinyHunters Breach Exposes Vietnam’s Credit Data in Massive Cyberattack
【編集部解説】
今回のベトナム国立信用情報センター(CIC)への攻撃は、単なるデータ漏洩事件を超えた深刻な意味を持ちます。ShinyHuntersという名前は、ポケモンの色違い(シャイニー)を狩る「シャイニーハンター」に由来しており、2020年頃から活動を本格化させた比較的新しいサイバー犯罪集団です。
今回、この集団は、従来のランサムウェア攻撃のように身代金を要求する代わりに、盗んだデータを地下フォーラムで直接販売するという手法を取っています。これにより、被害企業との交渉リスクを回避しながら、確実な収益を得ることができるのです。
特に注目すべきは、今回の攻撃対象が国家の金融インフラの中核である点です。CICはベトナム中央銀行傘下の機関で、同国の全金融機関が信用情報を照会する際の重要な窓口となっています。
流出データの規模についても詳しく見る必要があります。1億6000万件という数字は確かにベトナムの総人口1億200万人未満を大きく上回りますが、これは一人当たり複数の信用記録が存在することを意味します。長期間にわたる住宅ローン、自動車ローン、クレジットカードなどの履歴が累積的に保存されていたと考えられます。
この事件が示すより大きな問題は、新興国における急速なデジタル化とセキュリティ体制の乖離です。ベトナムは近年、フィンテック分野で目覚ましい成長を遂げており、キャッシュレス決済の普及率も急上昇していました。しかし、その基盤となるセキュリティインフラが成長速度に追いついていなかった可能性が浮き彫りになりました。
長期的な影響として、ベトナム国内の金融機関は今後、セキュリティ投資の大幅な増額を迫られることになるでしょう。また、ASEAN諸国における金融データの相互連携プロジェクトにも影響を与える可能性があります。さらに、個人レベルでは信用情報の悪用による二次被害が今後数年間にわたって続く恐れがあります。
【用語解説】
ShinyHunters(シャイニーハンターズ)
2020年頃から活動を本格化したサイバー犯罪集団。ポケモンの色違い(シャイニー)を狩る「シャイニーハンター」が名前の由来とされる。従来のランサムウェア攻撃とは異なり、盗んだデータを地下フォーラムで直接販売するビジネスモデルを採用している。
CIC(Credit Information Center)
ベトナム国立信用情報センター。ベトナム中央銀行傘下の機関で、同国の全金融機関が信用情報を照会する際の唯一の窓口として機能している。個人や企業の信用履歴を一元管理している。
地下フォーラム(Underground Forums)
サイバー犯罪者が盗んだデータや不正ツールを売買するダークウェブ上の闇市場。一般的なインターネット検索では発見できない特殊なネットワーク上で運営されている。
【参考リンク】
Resecurity(外部)
米国のサイバーセキュリティ企業で、サイバー脅威インテリジェンスと調査サービスを提供している。
State Bank of Vietnam(ベトナム国家銀行)(外部)
ベトナムの中央銀行。金融政策の策定と実施、銀行システムの監督を担当している。
【参考記事】
Vietnam investigates cyberattack on creditors data(外部)
ロイター通信による事件の初期報道。ベトナム政府の公式発表と捜査開始について詳細を報じている。
ShinyHunters Attacked Vietnam’s Financial System – CIC Data Leak(外部)
Resecurity社による技術分析レポート。流出データの詳細内容と攻撃手法について専門的に解説。
ShinyHunters Attack National Credit Information Center of Vietnam(外部)
サイバーセキュリティ専門メディアによる詳細分析。ShinyHuntersの戦術変化について報じている。
Vietnam’s credit information centre breached, VNCERT confirms(外部)
ベトナム国営通信による公式発表の報道。政府機関VNCERTの確認情報について現地視点から報じている。
【編集部後記】
今回のベトナム国立信用情報センターへの攻撃は、私たちの「個人データがどこで、どのように管理されているか」について改めて考えるきっかけになったのではないでしょうか。
日本でも多くの金融機関が信用情報を共有する仕組みがありますが、セキュリティ対策は十分なのでしょうか。また、新興国における急速なデジタル化の光と影について、皆さんはどのような視点をお持ちですか。私たちは読者の皆さんとともに、この複雑なテクノロジー社会の未来を考えていきたいと思っています。ご意見をお聞かせください。
