WebsitePlanet.comは9月9日(英国時間)、「Gym Communications Platform Exposed 1.6 Million Calls and Voicemails Containing the PII of Top Fitness Centers Members」において、米国ミネソタ州に拠点を置くフィットネス業界向けコミュニケーションプラットフォーム企業「Hello Gym」から約160万件の音声データが流出したと報じた。
これら音声データは暗号化による保護がなく、氏名、電話番号、その他の機密情報、内部通話およびメッセージが含まれていたとされる。
-
Gym Communications Platform Exposed 1.6 Million Calls and Voicemails Containing the PII of Top Fitness Centers Members
保護は皆無、詐欺利用は容易か
Hello Gymは複数のフィットネス企業向けに、顧客管理、フォローアップ、顧客満足度の向上支援サービスを提供している。VoIP電話サービス、自動出張サービス、その他の営業ツールなども提供する。
今回発見された音声データ(.mp3)は、このVoIP電話サービスによって作成されたデータとみられている。このインシデントを発見したセキュリティ研究者のJeremiah Fowler氏によると、これら音声データの多くからは氏名、電話番号、問い合わせの内容(請求、支払い、資格の更新など)が確認されたという。
詐欺師はこれら音声データを悪用し、会員に対してクレジットカード情報の再提出を求めたり、資格の更新費用として支払いを強要したりする可能性がある。詐欺師は会員の個人情報を音声データから把握することが可能で、さらに電話の問い合わせ日時も知り得ることから詐欺は容易とみられている。
音声データからはフィットネスジムのスタッフがセキュリティ監視サービスを一時的に無効にする目的で自身の氏名、住所、パスワードを伝えるものが発見されている。この音声データを悪用すると、詐欺師は同じ方法でセキュリティ監視サービスを無効にし、フィットネスジムに不正アクセスできる可能性がある。
通常のデータ侵害事案よりも事態は深刻
今回、個人情報とセットで音声データが流出している。近年の生成AI技術を利用すると、数秒間の音声データだけでクローン音声を生成することができる。これは音声による生体認証の無力化を意味し、被害者は生涯にわたり、なりすまし詐欺の被害にあう可能性がある。WebsitePlanet.comはソーシャルエンジニアリング攻撃の被害例を挙げ、これは架空の話ではなく実際の脅威だと指摘している。
このような被害を軽減するため、WebsitePlanet.comは音声データなどの生体情報を収集する組織(電話の窓口業務を含む)に対して次の対策を提案している。
- データを暗号化してから保存する
- ペネトレーションテストを実施する
- 直近で使用する予定のないデータはネットワークから切り離して隔離する。可能であれば破棄する
- サードパーティベンダーのサービス利用を検討する際には、データ保護とセキュリティについて調査する。多くのサービスプロバイダーは、自社のセキュリティポリシーや保護の手順などについて情報提供を拒むことはない
この件の被害者は、米国およびカナダに展開しているフランチャイズ店の関係者および顧客に限定されるという。また、実際の流出状況はわかっておらず、被害も報告されていない。音声データ流出の可能性のあるユーザーには、冷静な対応が望まれている。
ランサムウェアの侵入経路はVPNだけではない、LockBit流出データから攻撃・交渉の手口が明らかに
