金融技術大手のフィナストラ社は、2024年10月に同社のシステムに最初に侵入した未知の攻撃者によって個人情報が盗まれた被害者に対し、データ侵害の通知を行なっている。
ロンドンに本社を置くフィナストラ社は、世界トップ50の銀行のうち45行を含む130カ国の8,100以上の金融機関に金融サービス・ソフトウェア・アプリケーションを提供している。
同社が情報漏えいの影響を受けた人々に送付した情報漏えい通知書で警告したように、このセキュリティ・インシデントは、フィナストラが同社のシステムの一部で悪質な活動を確認した後、11月7日に初めて検出された。
「当社の調査により、2024年10月31日から2024年11月8日にかけて、不正な第三者がセキュアファイル転送プラットフォーム(SFTP)にアクセスしたことが判明しました。調査の結果、2024年10月31日に不正な第三者がSFTPから特定のファイルを取得したことが判明しました。
「フィナストラは、不正な第三者がさらにデータをコピー、保持、共有した形跡はありません。お客様の情報が悪用された、または悪用される可能性があると疑う理由はありません。その結果、個人情報が関与した個人のリスクは低いと考えています。”
フィナストラ社は、今回のデータ流出で影響を受けた個人の数や、流出したデータの内容(被害者の氏名のほか)についてはまだ明らかにしていないが、同社は先週から、金融口座情報が盗まれた同州の少なくとも65人に対し、流出通知書の送付を開始している(マサチューセッツ州司法長官事務所への提出書類によれば)。
この金融サービス会社はまた、今回の攻撃で情報が流出したり盗まれたりした人に対し、エクスペリアンを通じて2年間の無料クレジット・モニタリングと身元回復サービスを提供している。
Finastra は司法長官事務所への提出書類で非常に限られた情報しか開示していないが、この情報漏えいは、オンライン・サイバー犯罪コミュニティ BreachForums で「abyss0」として知られる脅威行為者が行った、Finastra のネットワークから盗まれたとされる 400GB のデータの販売を主張する投稿(現在は削除済み)に関連しているとみられている。
11月のフォーラムへの投稿について質問されたFinastraの広報担当者は、そのデータが同社のものかどうか肯定も否定もせず、限定的なセキュリティ侵害に遭い、その影響を評価しているとだけ答えた。
「2024年11月7日、フィナストラのセキュリティ・オペレーション・センター(SOC)は、特定の顧客へのファイル送信に使用している、社内でホストされているセキュアファイル転送プラットフォーム(SFTP)に関連する不審な活動を検出しました。
フィナストラ社は2020年3月にも、当時同社の最高執行責任者(COO)だったトム・キルロイ氏がランサムウェア攻撃と説明したものを封じ込めるため、システムの一部をオフラインにせざるを得なかった。
同社は、攻撃者がどのようにして同社のシステムにアクセスしたのかについては明らかにしていないが、サイバー脅威インテリジェンス企業のBad Packets社は、Finastra社が攻撃前に複数のPulse Secure VPNと Citrix ADC(NetScaler)のパッチを適用していないサーバーを持っていたことを発見した。
Finastra の広報担当者は、2024年10月のデータ流出に関する詳細を提供するために本日未明に連絡を取ったが、すぐにコメントは得られなかった。
Comments