ESETは3月28日(現地時間)、「Cybercriminals play dirty: A look back at 10 cyber hits on the sporting world」において、過去スポーツ業界で発生したサイバー攻撃うち、特に注目すべき事案について伝えた。今夏に開催予定のパリ五輪に対し、サイバー攻撃の脅威が高まっているとして注意を呼びかけている。

Cybercriminals play dirty: A look back at 10 cyber hits on the sporting world

○スポーツに関連したセキュリティインシデント

ESETはスポーツに関連したセキュリティインシデントとして、10件の概要を解説している。それらのうち、同種の攻撃をまとめた概要は次のとおり。

○1.ビジネスメール詐欺

2020年に英国立サイバーセキュリティセンター(NCSC-UK: United Kingdom's National Cyber Security Centre)が公開したスポーツ組織に関連したサイバー脅威レポート「(PDF) The Cyber Threat to Sports Organisations」によると、スポーツ組織の最大の脅威はビジネスメール詐欺(BEC: Business Email Compromise)だという。レポートではその事例として、非公開のプレミアリーグクラブの事案を挙げている。

レポートによると、クラブのマネージング・ディレクターがスピアフィッシング攻撃を受け、Office 365の偽のログインページから認証情報を窃取された。このときクラブは100万ポンド(約130万米ドル)の選手移籍交渉の最中だったとされる。脅威アクターは移籍金の情報を知ると、これを窃取するためビジネスメール詐欺を試みたが銀行の介入を受けて失敗している。

2018年にイタリアのプロサッカークラブ「ラツィオ・ローマ」においても同様の事案が発生している。こちらでは被害を回避できず、250万ドル相当の移籍金を窃取されている。

○2.ランサムウェア

2020年11月、イングランドのプロサッカークラブ「マンチェスター・ユナイテッド」がランサムウェアの被害に遭い、クラブの運営に支障を来す事態となった。同クラブは身代金を支払うことなく被害を軽減し、最終的にシステムを復元している。

2023年4月、王立オランダサッカー協会(KNVB: Koninklijke Nederlandse Voetbalbond)がサイバー攻撃を受け、組織の従業員と関係者、合わせて120万人以上の機密情報を窃取された。この攻撃はランサムウェア「LockBit」によるものとされる。同協会は2023年9月に身代金を支払ったことを公表している。

○3.マルウェア

2018年の平昌(ピョンチャン)冬季五輪では、「Olympic Destroyer」と呼ばれるマルウェアにより開会式が中断させられる事態に陥った。この事案では大会の2カ月ほど前から攻撃の準備が進められており、攻撃者はこの時点で大会関連企業のネットワークに侵入している。大会当日、攻撃者はそのネットワークから組織委員会のネットワークに横移動してマルウェアを展開、システムを操作不能にした。

○4.病歴の公開

2016年、世界ドーピング防止機構(WADA: World Anti-Doping Agency)から著名人の医療情報が窃取された。このデータ侵害により、治療のために処方された禁止薬物の使用を許可する治療使用特例(TUE: Therapeutic Use Exemptions)が暴露され、一部の選手が被害を受けた。

○5.外部組織の情報漏洩

2023年3月、全米バスケットボール協会(NBA: National Basketball Association)の外部メールサービスプロバイダーから顧客の氏名、メールアドレスが漏洩した。この事案では全米バスケットボール協会のシステムは侵害されていない。

○6.機密情報の漏洩

2021年4月、全米バスケットボール協会(NBA)に所属するチームがランサムウェア「Babuk」の被害に遭い、500GBを超える機密情報を窃取された。機密情報には選手の契約書、顧客情報、財務情報が含まれていたとみられている。

2023年10月、フランスのバスケットボールチームASVELがランサムウェア「NoEscape」の攻撃を受け、機密情報を窃取された。機密情報にはパスポートや身分証明書などの個人情報、契約書、機密保持契約書、その他の法的文書が含まれていた。

2023年10月、スペインのプロサッカークラブ「レアル・ソシエダ」がサイバー攻撃を受け、顧客の機密情報を窃取された。機密情報には顧客の氏名、住所、電話番号、ID番号、メールアドレス、銀行口座番号が含まれていた。

○7.暗号資産詐欺

2022年9月、アルゼンチンのスポーツクラブ「ボカ・ジュニアーズ」の公式YouTubeアカウントが攻撃者に乗っ取られ、暗号資産「イーサリアム」の詐欺に悪用された。ボカ・ジュニアーズは即座に声明を発表し、それから数時間後にアカウントを取り戻している。

○サイバー攻撃に注意

攻撃者にとってスポーツ関連組織はその他の企業と同じ標的の一つにすぎない。このような攻撃者は被害の影響が大きければ大きいほど、より大きな利益が見込めるとして積極的に攻撃してくる可能性がある。

そのため、国際的なスポーツイベントである五輪の関係者はサイバー攻撃に注意する必要がある。スポーツはサイバー空間から縁遠いように感じるが、サイバー攻撃の脅威に垣根は存在しない。すべての組織にはサイバー攻撃を警戒し、セキュリティ対策に万全を期すことが望まれている。