フィデリティのデータ侵害で77,099人の顧客データが流出

フィデリティ・インベストメンツは10月9日、数千人の顧客に漏洩通知書を送付し、8月にメイン州で脅威アクターが同社の顧客77,099人のデータを侵害したと発表した。

攻撃者はフィデリティの投資口座の資金にはアクセスしませんでした。しかし、ハッカーは社会保障番号や運転免許証などの個人情報を入手し、2つの新しい顧客口座を作成しました。これに対し、フィデリティは攻撃者のアクセスを遮断し、影響を受けた顧客に信用監視およびID復元サービスを提供しました。

「当社は、今回の事件とお客様の情報のセキュリティを非常に深刻に受け止めています」と、フィデリティ・インベストメンツのプライベートオフィスはメイン州住民向けに作成した通知のサンプルに記載しています。「前述の通り、この行為を検知した時点で、当社は速やかに当該行為を終了させ、この事件に対処するための措置を講じました。」

サイバー攻撃の要素は依然として不明

メイン州におけるフィデリティのデータ漏洩通知によると、攻撃は8月17日から19日の間に発生した。本稿執筆時点では、フィデリティは攻撃者がどのようにアクセスを獲得したか、また、新規アカウントのどの部分を使ってシステムを操作できたのかを明らかにしていない。

「第三者が入手した情報は、当社の顧客の一部に関連したものでした」とフィデリティは述べている。

参照: またその時期がやってきました。Microsoft と Apple はともに Patch Tuesday に合わせてメジャーアップデートをリリースします。

フィデリティは、攻撃者のシステムへの侵入経路を遮断するとともに、調査を支援するため外部のセキュリティ専門家を招聘した。フィデリティによると、対応は迅速だったという。同社は信用監視とID復旧サービスを提供し、影響を受けた顧客の投資口座における異常な動きを検知する仕組みだ。

フィデリティがサイバー攻撃に遭遇したのは今回が初めてではありません。3月にも、フィデリティは顧客の個人情報がランサムウェア攻撃で漏洩したとの情報開示を行いました。この事件では、ハッカーが2023年11月にインフォシス・マッカミッシュ・システムズのITシステムを通じて侵入しました。10月の情報開示は、この攻撃とは無関係のようです。

機密情報を含むアカウントには注意を払う

フィデリティは、顧客に対し、自身の口座における不正行為やその他の疑わしい行為の可能性を監視するよう注意喚起しました。また、不正行為の警告や信用情報レポートの登録方法についても案内しています。推奨事項は以下のとおりです。

• 金融口座やその他の口座の明細書を定期的に確認してください。
• 信用レポートを監視します。
• 疑わしい活動があった場合は、速やかに金融機関、地元の法執行機関、または適切な州当局に報告してください。

コメントを求められたフィデリティは、侵害通知案に記載された情報を確認した。

「お客様から今回の件に関するご質問があるかもしれないことを認識しており、サポートのためのリソースを整備しています」と、フィデリティは社外コミュニケーション責任者のマイケル・アアルト氏が発表した声明で述べた。「フィデリティは、お客様へのサービス提供と情報保護の責任を真摯に受け止めています。」

こちらもご覧ください

• デロイト：サイバーセキュリティ専門家の4分の1だけが女性である理由
• Bitwarden vs 1Password (2024): どちらを選ぶべきでしょうか?
• サイバーセキュリティに関する必読書10冊
• サイバーセキュリティ：さらに読むべき記事