スポーツベッティング大手のドラフトキングスは、最近相次いでいるクレデンシャル・スタッフィング攻撃でアカウントがハッキングされたことを非公開の顧客数に通知した。
ボストンに本社を置き、2012年に設立されたギャンブル会社であるドラフトキングスは、スポーツブックとデイリー・ファンタジー・スポーツ(DFS)サービスを提供しており、NFL、NHL、PGAツアー、WNBA、UFC、NASCARの公式パートナーである。ドラフトキングスの従業員数は5,100人以上で、2024年末の売上高は47億7,000万ドルと報告されている。
10月2日木曜日に送られたデータ流出通知書で、DraftKingsは影響を受けた顧客に対し、攻撃者がクレデンシャル・スタッフィングキャンペーンの兆候を示す攻撃でアカウントと「限られた量」のデータにアクセスしたことを通知した。
クレデンシャル・スタッフィングとは、攻撃者が自動化ツールを使って、他のオンライン・サービスから盗んだユーザー名とパスワードのペアでユーザー・アカウントに侵入することで、複数のプラットフォームでクレデンシャルを再利用しているユーザーに対して特に効果的な手口です。攻撃者はアカウントを乗っ取り、個人情報や財務情報を盗むことを目的としており、その情報は後にダークウェブで販売されたり、個人情報の盗難やその他の悪意のある目的に使用される可能性がある。
しかし、同社によると、攻撃者は「政府発行の身分証明書番号、完全な金融口座番号」などの機密データにはアクセスしておらず、顧客の銀行口座に侵入したり、個人情報窃盗を行ったりすることはできなかったという。
「しかし、DraftKings以外の情報源からログイン情報を盗み出し、この攻撃に使用することで、悪質な行為者は一時的にDraftKingsの特定の顧客のアカウントにログインできた可能性があります。
“あなたのアカウントにアクセスされた場合、攻撃者はあなたの名前、住所、生年月日、電話番号、電子メールアドレス、支払いカードの下4桁、プロフィール写真、過去の取引に関する情報、アカウント残高、最後にパスワードが変更された日付を見ることができたかもしれません。”
これらの攻撃を受け、同社は影響を受ける可能性のある顧客に対し、DraftKingsアカウントのパスワードをリセットし、DK Horseアカウントへのログインに多要素認証を有効にするよう求める。
また、DraftKingsは顧客に対し、アカウントのパスワードを変更すること、銀行口座や信用報告書を確認すること、信用報告書にセキュリティ・フリーズをかけること、予防措置として信用ファイルに詐欺アラートを設定することを助言した。
DraftKingsの広報担当者は、本日早朝に連絡を取ったが、すぐにコメントは得られなかった。
ドラフトキングスは2022年11月にも、別のクレデンシャル・スタッフィングキャンペーンで侵入されたアカウントから最大30万ドルが盗まれたことを明らかにしている。その1ヵ月後、スポーツベッティング会社は、この事件でアカウントがハッキングされた67,995人の顧客に数十万ドルを返金した。
FBIは何年も前から、流出したクレデンシャルの集合リストや自動化ツールが容易に入手できるため、クレデンシャル・スタッフィング攻撃の脅威が非常に高まっていると警告している。
Update 10/7/25: 記事掲載後、DraftKingsはクレデンシャル・スタッフィング攻撃による影響は30人以下であったと発表した。
“DraftKingsは、30人未満の顧客のアカウントへの不審なログインに関わる潜在的なセキュリティインシデントを報告しました。
「私たちのこれまでの調査では、使用されたログイン情報がDraftKingsから入手されたものであるという証拠も、DraftKingsのコンピューターシステムやネットワークが侵害されたという証拠も確認されていません。最も重要なことは、この事件によって金銭的損失を被った顧客はいないということです。”
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
今年のセキュリティ検証イベントPicus BASサミット
Breach and Attack Simulation Summitに参加して、セキュリティ検証の未来を体験してください。一流の専門家から話を聞き、AIを搭載したBASが侵害と攻撃のシミュレーションをどのように変革するかをご覧ください。
セキュリティ戦略の未来を形作るイベントをお見逃しなく。
Comments