シティズンズ・バンクでデータ流出、外部ベンダー経由で340万件の記録が露出

共通の外部ベンダーにおける重大なデータ流出により、シティズンズ・バンク（Citizens Bank）とフロスト・バンク（Frost Bank）の顧客データが危険にさらされました。ランサムウェアグループ「Everest」は340万件の記録を抽出したと主張し、その公開を予告しています。

シティズンズ・バンクは火曜日の声明で、「外部ベンダーから抽出されたデータに関するインシデントに対応している」と述べ、流出の事実は認めたものの、データ損失の規模については明言を避けました。フロスト・バンクも同様の声明を出し、インシデントを外部ベンダーの責任とし、流出には「フロストの顧客データが含まれていた可能性がある」と述べました。両行とも、流出公表の初期段階では一般的な慣行として、侵害されたベンダー名は公表していません。

2020年に出現したランサムウェアグループ「Everest」が攻撃の犯行声明を出し、データ漏洩サイトに両行を被害者として掲載しました。同グループは、シティズンズから340万件の記録を、フロストから25万件以上の社会保障番号および納税者識別番号を盗んだと主張しています。ZeroFoxのインテリジェンス担当副社長アダム・ダラ（Adam Darrah）氏によると、証拠は単一のベンダーが侵害されたことを示唆しており、そのベンダーはおそらく銀行の計算書印刷や税務書類の処理を請け負っている企業である可能性が高いとのことです。

今回の流出は、サイバー犯罪者が大企業の顧客データにアクセスするために、より小規模でセキュリティの甘いベンダーを標的にする「サプライチェーン攻撃」の脅威が重大化し、増大していることを浮き彫りにしています。このインシデントは、金融機関が外部ベンダーを審査し監視するために広範なデューデリジェンスが必要であることを改めて認識させるものです。両行とも自社のネットワークは侵害されていないと主張していますが、これほど大規模なデータ損失によるレピュテーションリスクや不正利用の可能性は甚大です。Everestは4月25日に盗んだファイルを公開すると脅迫しており、銀行とその顧客にとって時間的猶予のない課題となっています。

本記事は情報提供のみを目的としており、投資勧誘を目的としたものではありません。