National Public Data confirms breach exposing Social Security numbers

身元調査サービスのナショナル・パブリック・データは、数百万件の社会保障番号やその他の機密個人情報を含む盗難データベースが脅威行為者によって流出した後、ハッカーが同社のシステムに侵入したことを確認した。

同社は、漏洩したデータには氏名、電子メールアドレス、電話番号、社会保障番号(SSN)、郵便住所が含まれる可能性があるとしている。

漏洩は2023年後半のハッキング未遂と関連

ナショナル・パブリック・データは、セキュリティ事故を公表した声明の中で、”漏洩が疑われた情報には、氏名、電子メールアドレス、電話番号、社会保障番号、郵送先住所が含まれていた “と述べている

同社は、”2024年4月と2024年夏に特定のデータが流出した “ことを認めており、今回の情報漏洩は、”2023年12月下旬にデータをハッキングしようとしていた “脅威行為者と関連していると考えている。

NPDは、事件を調査し、法執行機関と協力し、影響を受けた可能性のある記録を確認したと述べている。重大な進展があった場合、同社は影響を受けた個人に「通知するよう努める」という。

注目すべきは、このセキュリティ事件に関するNPDの声明へのアクセスが、米国内および国外の多数の地域のIPアドレスでブロックされていることが、『NPD』のテストによって明らかになったことだ。しかし、このページのキャプチャはInternet Archiveに十数枚存在する。

ナショナル・パブリック・データ(NPD)から盗まれたデータベースの大部分は10日前に流出したが、それ以前にも様々な脅威行為者によって部分的なコピーが共有されていた。

流出の発端は、4月にUSDoDという偽名を使った脅威行為者が、NPDから盗まれたとされる29億件のレコードを350万ドルで売ると申し出たことだった。

今月初めには、Feniceとして知られる別の脅威行為者が、27億件のレコードを持つデータベースの最も包括的な亜種を無料で共有し、複数のレコードが1人の人物を参照していた。

Threat actor leaks database stolen from National Public Data
National Public Dataのデータがハッキング・フォーラムで流出
Source

どれだけの個人が影響を受けているかは不明だが、複数の人が、記録には自分だけでなく、亡くなった人を含む家族の詳細も含まれていることを確認した。

漏洩した個人情報の検索サービス「Have I Been Pwned(HIBP)」の作成者兼管理者であるトロイ・ハント氏によると、同氏が分析したNPD流出データベースのあるバージョンには、1億3400万件のユニークな電子メールアドレスが含まれていたという。

しかし、すべての情報が正確であるとは限らない。ハント氏の分析によると、1億3,400万件のユニークな電子メールアドレスがあった。

ハントが入手したデータセットを分析したところ、これを裏付けるかのように、ある電子メールアドレスが2つのユニークな生年月日に関連付けられていた。

さらに、我々が確認した人物の現住所が含まれていないことから、データベースの詳細の一部も古い可能性があることがわかった。

不正確さはさておき、このNPD事件は、National Public Dataサービスを運営するジェリコ・ピクチャーズに対し、少なくとも1件の集団訴訟に発展した。

NPDは、個人に関するすべての法的書類を含む政府記録(連邦、州、地方)などの公的ファイルから詳細を入手していると考えられている。

NPDの情報漏えいの影響を受けた人は、詐欺の可能性がないか金融口座を監視し、信用情報機関に報告する必要がある。

連絡先情報が流出したため、詐欺行為に使用される可能性のある、より機密性の高い情報を提供させようとするフィッシングの可能性もあります。