米国の大手身元調査および薬物・アルコール検査会社であるDISAグローバル・ソリューションズが、330万人に影響を与えるデータ漏洩に見舞われた。
同社は1月、侵害が発覚した2024年2月9日から4月22日の間に発生したサイバーセキュリティ・インシデントを初めて公表した。
今月初めの更新でDISAは、脅威行為者が同社のシステムに保存された機密データにアクセスした可能性があるが、それ以上の拡散や悪用の証拠はなかったことを明らかにした。
本日、同社はさらなる調査の結果、33億3,275万人分の機密データがサイバー攻撃で流出したことを確認した。
DISAは、フォーチュン500社の30%が同社のサービスを利用しているなど、幅広い業界にわたって55,000社以上の顧客を抱えている。とはいえ、今回のデータ漏洩は全国的に広範囲な影響を及ぼす可能性がある。
「DISAが経験したインシデントについてお知らせします。このインシデントは、あなたの個人情報の一部に関与している可能性があり、あなたが現在または以前の雇用主、あるいは将来の雇用主との間で完了した可能性のある従業員スクリーニング・サービスにより、当社が所有することになりました」と、影響を受けた個人に送られた通知には書かれている。
DISAは、当局と共有したサンプルレターの中で、どのような種類の情報が不正アクセスされたかを明らかにしていない。しかし、DISAのウェブサイトに掲載された通知には、次のように記されている:
- 氏名
- 社会保障番号
- 運転免許証番号
- 政府ID番号
- 金融口座情報
- その他のデータ要素
その他のデータ要素」が何で構成されているかは不明だが、DISAは提供しているサービスの種類により、一般的に個人を特定できる情報、連絡先の詳細、雇用・学歴、犯罪・身元調査、薬物・アルコール検査データ、医療・健康関連データなどを扱っている。
DISAはどのような種類のサイバー攻撃を受けたのか公表していないが、現在は削除された通知によると、盗まれたデータが公に公開されるのを防ぐために身代金の要求を支払ったとのことである。
「DISAのデータはダークウェブでは見つかっていない。DISAは、『脅威行為者が取得したデータを公に公開することを阻止し、データの削除の確認を提供するための措置をとった』と指摘した」と、現在は削除された通知のコピーが掲載されている。
データ流出から生じるリスクから影響を受けた人々を保護するため、DISAはエクスペリアンを通じて12カ月間の無料クレジット・モニタリングと個人情報盗難防止サービスを提供している。
また、影響を受ける可能性のある人々には、予防措置としてアカウントに詐欺警告とセキュリティ凍結をかけることを検討するよう推奨している。
Comments