電子ウォレット利用者にデータ漏洩疑惑後のアカウント監視を推奨、GCashは侵害を否定
国家プライバシー委員会(NPC)は10月27日月曜日、GCashのアカウント保持者に対し、「アカウントを積極的に監視し、MPINやパスワードを定期的に更新し、情報を保護するために追加のセキュリティ機能を有効にする」よう促しました。
MPINとは、モバイル個人識別番号のことで、ユーザーがアカウントにログインし、取引を承認するために作成する4桁のセキュリティコードです。
電子ウォレットプラットフォームの他の安全機能には、「バイオメトリクスログイン」オプションがあり、ユーザーはパスワードやMPINの代わりに指紋や顔認識を使用してアカウントにアクセスすることができます。
GCashはこのオプションが「ユーザーのアカウントに追加のセキュリティを提供する」と述べています。
NPCはまた、電子ウォレット利用者に対し、「フィッシングの試みに警戒し、調査が進行中の間は個人情報や機密データを共有しないように」と助言しました。
NPCによれば、ダークウェブ上で「Oversleep8351」という別名を使用する脅威アクターが、商人および基本ユーザーデータ、GCashアカウント番号、リンクされた銀行および仮想カードアカウント、名前、住所、雇用情報、有効なフィリピンIDを含むKYC(顧客確認)記録を提供していると主張している投稿があるとのことです。
同機関は、苦情および調査部門がG-Xchange Inc.に対し、疑惑の事件に関する追加の詳細を求める説明通知を発行したことを付け加えました。
また、この問題についてより深く議論するために、プラットフォームとのオンライン説明会が予定されていることを公衆に保証しました。
NPCは、月曜日の午前10時30分時点で、G-Xchange Inc.から公式なデータ侵害通知を受け取っていないと述べました。
「調査により、GCash利用者の個人データが侵害されたことが確認された場合、NPCは2012年データプライバシー法の下でその権限内で規制および執行措置を講じる」と述べました。
同機関は、さらなる情報が入手可能になり次第、更新情報を提供すると付け加えました。
GCashの対応
「GCashは、ユーザー情報がダークウェブで販売されているとするオンライン投稿を認識しています。GCashシステムにおける侵害の証拠はありません。すべての顧客アカウントと資金は安全です」と、NPCの発表から数時間後に声明を発表しました。
プラットフォームは、サイバーセキュリティ専門家の調査に基づき、「疑惑のデータセットはGCashシステムのデータと一致しない」と述べました。
「さらに、多くのエントリーは不完全で無効であり、GCash利用者のものではありません。これらの調査結果は、流通しているデータがGCashから発信されたものではないことを強く示しています」と述べました。
プラットフォームは、NPC、バンコ・セントラル・ング・ピリピナス、およびサイバー犯罪調査調整センターと「密接に連携し続け」、すべての可能な情報源からの情報を監視および検証し、システムが「保護されたままであることを保証する」と利用者に保証しました。
「GCashは、顧客データを保護し、防御を強化し、何百万ものフィリピン人の信頼を守ることに完全にコミットしています」と述べました。
疑惑の漏洩
日曜日、サイバーセキュリティ擁護団体が、「GCashユーザーデータ」がダークウェブで販売されているとされ、数百万のアカウントに影響を与える可能性があると報告しました。
「G-Xchange/GCashに関与するデータ漏洩がダークウェブフォーラムに浮上しました。Oversleep8351というユーザーが投稿し、2019年から2025年10月までの記録を販売していると主張しており、eKYC(顧客確認)情報、リンクされた銀行口座、GCash番号を含んでいます」とDeep Web Konekは述べました。
「リストによれば、データには商人と基本ユーザーの両方が含まれており、名前、住所、雇用情報、さらには有効なフィリピンIDなどの個人情報が含まれています。売り手は、データダンプが700万から800万人のユーザーを含み、最大25,000ドルで束で提供され、支払いはMonero(XMR)暗号通貨のみで行われると主張しています」と同組織は付け加えました。
「フォーラム投稿は、すべてのデータが『整理されていない』ため、手動で整理する必要があると述べ、売り手は以前のダークウェブ取引からの『既存の買い手』としか取引しないとしています」とDeep Web Konekは述べました。
組織は、GCashがこの疑惑について通知を受けており、報告されたデータ侵害を調査するためにプラットフォームと「すでに調整済み」であると述べました。
GCashはフィリピン最大の電子ウォレットプラットフォームの一つであり、COVID-19パンデミックの間にキャッシュレス取引が一般的になったことで人気を集めました。
【用語解説】
– GCash: フィリピンの主要な電子ウォレットプラットフォーム。
– MPIN: モバイル個人識別番号、電子ウォレットのセキュリティコード。
– バンコ・セントラル・ング・ピリピナス: フィリピン中央銀行。