タイのサイバー犯罪事例とセキュリティ対策

タイ国内で発生したサイバー犯罪事例

サイバー攻撃者は絶え間なく進化し、新たな攻撃手法を学習しています。より巧妙な攻撃手法を採用することが当局のサイバー攻撃による犯罪の検挙率を下げることを難しくしています。大規模なインシデントも多く発生しておりニュースに取り上げられた事件も複数あります。ここではタイで起きたサイバーセキュリティ事件の事例をいくつか紹介します。

TrueMove H社の設定ミスによる個人情報流出

タイの主要モバイル通信事業者のひとつであるTrueMove H社は、タイの大手複合企業体のTrue Corporationの子会社で、4Gおよび5Gモバイルネットワーク、インターネットパッケージ、各種デジタルサービスなど幅広いサービスを提供し、全国を幅広くカバーしています。

2018年4月、TrueMove H社は46,000人の顧客の個人情報が流出するという重大なデータ漏洩に見舞われました。この情報には、運転免許証、タイの国民IDカード番号、パスポートなどの身分証明書が含まれており。流出の原因は、クラウドストレージサービスであるアマゾンウェブサービス（AWS）のS3バケットの設定ミスでした。情報漏洩はセキュリティ研究者によって発見されましたが、データはしばらくの間一般公開されたままでした。同年4月12日にTrueMove H社はデータへのアクセスを制限しましたが、データがいつまで公開されていたかは発表されていません。また、データ漏洩がAWS S3バケットの設定ミスによるものであったため、特定の個人に責任があるかどうかを示す記録はなかったようです。

Saraburi Hospitalへのランサムウェア攻撃

サラブリー病院は首都バンコクの北に位置するサラブリー県が運営している病院です。最大700人の入院患者を収容できる大規模な病院で、国立総合大学のタマサート大学と協定を結び、臨床実習で医学生を受け入れています。

2020年9月、サラブリー病院はランサムウェア攻撃を受けました。攻撃を受けている間、病院はシステム内に記録されている患者情報や病歴にアクセスすることができず、またバックアップシステムに保存されている情報にもアクセスすることができませんでした。病院側は身代金要求を拒否し、デジタル経済社会省（DES）がデータ復旧を支援するためにサイバーセキュリティチームの派遣を行いました。DESはタイ国内の全医療機関に対してサイバーセキュリティ対策を強化するよう助言しています。

3BB社へのハッキングによる恐喝

3BB社はタイの大手インターネットサービスプロバイダーです。高速ファイバーインターネット、WiFi、クラウドTVなど様々な通信サービスを提供しており、同社は個人と法人向けに信頼性の高い高速インターネット接続を提供しています。

2021年1月、3BB社はハッキングの被害に遭い、ハッカーは3BB社の顧客の個人情報を入手し55万ドル以上の身代金を要求しました。しかし3BB社の親会社であるジャスミンインターナショナルは身代金を支払わないことを決定。同社は、攻撃者が流出したデータに財務情報やクレジットカード情報は含まれていないことを顧客に保証しています。

Bangkok Airways社へのランサムウェア攻撃

バンコクエアウェイズ社はバンコクを拠点とする地域航空会社で、タイ国内および近隣諸国に定期便を運航しています。アジアのブティックエアラインとして知られていて、専用ラウンジや機内食、手荷物許容量など独自路線で他社との差別化を図っています。

2021年8月、バンコクエアウェイズ社がLockBitによるランサムウェアの攻撃を受け、情報システムに不正アクセスされました。攻撃者は乗客の氏名、連絡先、パスポート情報、クレジットカード情報の一部を含む大量の個人情報を盗み出しましたが、運航および航空セキュリティシステムには影響はありませんでした。

バンコクエアウェイズ社は、サイバーセキュリティの専門家と協力し、インシデントを調査しITシステムを強化。また影響を受けた乗客に対しては、銀行への連絡やフィッシング詐欺への警戒などの予防策を講じるよう伝えています。

プミラチャナカリン腎臓病研究所病院へのランサムウェア攻撃

タイのバンコク中心部に位置するプミラチャナカリン腎臓病研究所病院は、腎臓病の治療と研究に特化した専門施設で、腎臓病検診、透析、腎臓移植など、腎臓に関連するさまざまな疾患の専門病院で、最先端の医療技術を備えています。肝臓病研究の後援者であるプミポン前国王（ラーマ9世）とその姉のナラーティワートラーチャナカリン王女を記念して設立されたこの病院は、24時間体制の緊急治療室と集中治療室を備え、すべての患者に包括的なケアを提供しています。

2021年9月、病院のデータとサーバーがロックされたと警察に届け出ました。ロックされたデータは、患者の個人情報、疾患や透析データなど約4万人分の診療データでした。当日の夕方に訛りのある人物から身代金の要求連絡があり、病院側は犯人が外国人の可能性が高いと判断、病院側はハッカーに対し、被害情報を確認するため後日改めて連絡するよう伝えましたが、その後ハッカーから連絡はこず、さらなる調査の結果、この攻撃はSunCryptランサムウェアを使って行われたことが判明しています。

ハッカーは遠隔操作でハッキングしていたと考えられ、警察による追跡は困難を極めました。バックアップシステムのデータの一部も失われ可能な限りのデータ復旧に努めましたが、従来の医療の提供には大幅な遅れが生じました。

CP FreshMartの不正アクセスによる個人情報流出

CPフレッシュマートはタイで人気の小売チェーンで、生鮮食品や食料品を幅広く提供することで知られていてタイの中流階級に人気があります。タイ最大の複合企業体のひとつであるCharoen Pokphand Group（CPグループ）の企業で、実店舗だけでなくオンラインショッピングも提供しており、顧客は生鮮食品や調理済み食品などを注文し、自宅に直接配達してもらうことができます。

2021年9月、CPフレッシュマートの顧客の氏名、電話番号、電子メールアドレスなどが外部からの不正アクセスを受けました。クレジットカードの情報漏洩はなかったとしていますが、CPフレッシュマートはサイバーセキュリティの専門家と連携して調査を行いシステムの安全性を強化しました。

Centara Hotels & Resorts and Central Restaurant Groupへの連続サイバー攻撃

セントラルグループはタイに本社を置く多国籍複合企業体です。チラティヴァット家がオーナーであり、フォーブス誌によると、この一族はタイの富豪50人のトップ5、またアジアの富豪一族のトップ10にランクインしています。食品・飲料、ホテル、不動産管理、ブランド・マネジメントなどの様々なジャンルにまたがる数多くの企業を傘下に持っています。

2021年10月、同社の子会社2社が、台湾のコンピューター大手AcerやシンガポールのLion City Employment Agencyなど、世界中の企業に侵入した悪名高いハッカー集団Desordenの攻撃を受けました。

Centara Hotels & Resortsは、12カ国にホテルを展開するタイの5つ星ホテルチェーンで、Desordenによるサイバー攻撃を受けたことにより同ホテルの500GB相当の情報を盗まれ、盗んだ情報には2003年から2021年に同ホテルのサービスを利用した数百万人の顧客のデータが含まれているとされました。

セントラルレストランツグループ（CRG）は、同じセントラルグループ傘下のタイの大手外食企業で、ミスタードーナツ、ケンタッキーフライドチキン（KFC）、大戸屋、てんやなど、タイ国内でさまざまな外食ブランドの運営を行っています

同月末、Desordenが同社のサーバーに侵入し、CRGのシステムから80GB相当のデータを持ち出したと発表しましたが、CRGはウェブサイトで、機密性の高い顧客情報や企業の財務情報は漏洩していないとの声明を発表しています。

Advanced Info Services社 (AIS) へのハッキングによる恐喝

AISは1991年にタイ証券取引所に上場したタイの大手携帯電話ネットワーク・プロバイダーであり、電気通信会社です。タイ全土をカバーして幅広いサービスを提供し、タイ国民だけでなく観光客にも人気があります。子会社のAdvanced Wireless Network Company (AWN)は、モバイルPBXサービスなど顧客の需要に応じた通信サービスを提供しています。

2023年8月、ハッカー集団DesordenはAWNのモバイルPBXサーバーに侵入し、WAVファイル（音声記録）、720万件の着信記録、810万件の発信記録を含む情報をAISから盗んだと主張しました。モバイルPBXのサービスプロバイダーであるiSoftel社を経由して侵入が行われたとされています。

AWNとiSoftelの両社は、Mobile PBXサービスを利用している顧客に向けて、両社が問題解決に向けて協力しているとの声明を発表。iSoftel社は、Mobile PBXのすべての情報へのアクセスを遮断し、より安全性の高いMobile PBXの新バージョンを開発中であり、既存の顧客は引き続きサービスを利用できることを保証しました。

タイ大学中央入学システム（TCAS）の職員のミスによる個人情報流出

2018年よりタイのすべての大学は学部課程の学生募集システムを利用しており、学生が大学に出願するにはTCASと呼ばれるシステムを利用することが義務付けられています。

2022年2月、TCASで重大なデータ漏洩が発生。TCASデータベース内の一部である23,000人以上の学生の個人情報が盗まれ、ダークウェブで販売されました。このデータには、氏名、成績、国民IDカード番号などの個人情報が含まれていました。

タイの英字新聞メディアBangkok Postによると、国家サイバーセキュリティ局（NCSA）はシステムからデータをエクスポートする際に大学職員が処理した際のミスが流出の原因である可能性があると伝えています。CUPTは流出に関与した人物に対して法的措置を追求するとの声明を発表しています。

9Nearによるタイ政府機関からの個人情報窃取事件

2023年3月、9Nearと呼ばれるハッカー集団が5,500万人分のタイ国民の個人情報を公開すると政府機関を脅迫しました。氏名、生年月日、IDカード番号、電話番号などの個人情報が含まれており、これらはワクチン登録記録から流出したとされています。タイ政府は9near.orgのウェブサイトをブロックする措置をとり、タイ人と思われるハッカーを特定しました。（*2023年現在、タイの人口は7,180万人）

9Nearの背後にいたタイ国籍のハッカーが逮捕され、さらにタイ当局はデータ漏洩の責任者を特定し逮捕しました。

さらに、9Nearグループの背後にいるハッカーは、タイ王国陸軍の2等軍曹という肩書きを持つ陸軍の職員であることも判明しました。この事件によって政府機関における内部セキュリティと機密データの取り扱いに関する懸念がうき彫りになりました。同グループは以前、選挙が近づくにつれ、国民に賢明な選択を促す不可解なメッセージをウェブサイトに掲載していました。

警察は今回の事件は選挙とは無関係であると国民に伝えましたが、この件に関してはまだ様々な憶測が飛び交っており、今回の事件が本当に政治的な動機によるものかどうかはわかっていません。

タイのサイバーセキュリティに関する法律について

サイバー犯罪に対抗し、解決するために、タイ政府が実施しているセキュリティ対策の一部を紹介します。

Cybersecurity Act（サイバーセキュリティ法）

2019年5月一部施行、2021年全面施行

サイバーセキュリティ法は、サイバースペースの安全とタイ王国に居住する個人の安全を保証することを目的としています。

この法律により政府は国民に対する監視力を強め、緊急時や予防措置の名目で、すべてのオンライントラフィックを追跡、監視、アクセスできるようになりました。これにより政府はオンライン詐欺の被害者が詐欺に遭わない支援することができるようになりますが、タイのデジタル経済において政府がどのように「広範な権限を付与」されるのかについて、国民の間に懸念が生じています。タイは軍部が政権を掌握しており、この法律によって起こるかもしれない権利濫用の可能性を国民が危惧しています。

2024年1月/2025年1月追加項目施行予定

2024年1月国家サイバーセキュリティ委員会（NCSC）は、主要な組織や資産に対するサイバーセキュリティ関連の要件を定めた新たな通知を発表しました。

政府機関、規制機関、および重要なインフラに関わる組織は、データセキュリティと最低限のサイバーセキュリティ対策に関する新たな基準を遵守しなければならないとされ、さらにこれらの組織はセキュリティカテゴリで機密性、完全性、可用性に基づく自己評価の実行と、リスクベースのセキュリティ分類と対策の適用が義務づけられました。

個人データ保護法（Personal Data Protection Act、PDPA）

2019年5月一部施行、2021年全面施行

PDPAに基づき、タイ王国の国民は、組織による個人データの収集、保存、拡散、保護方法を管理することが義務付けられています。

タイ国外の組織が、タイ国内の個人（タイ国民であるか否かを問わない）から収集した個人データを収集、利用、開示する場合、以下の行為に該当する場合にPDPAの対象となる可能性があります：

• 支払いの有無にかかわらず、タイ国内の個人に商品やサービスを提供すること
• クッキー、グーグルアナリティクス、検索エンジンの使用など、タイにおける個人の行動を監視すること

まとめ

タイはサイバーセキュリティのインフラとランキングの改善において大きな進歩を遂げました。しかし、他の国々と同様、サイバー攻撃者からの挑戦に常に直面し続けています。サイバーリテラシーの向上、強固なセキュリティ対策の導入、法規制の強化といった継続的な取り組みは、タイのデジタルの未来を守る上で極めて重要といえます。