フィデリティ・インベストメンツが今年4度目のデータ侵害を公表
米・投資信託会社フィデリティ・インベストメンツ(Fidelity Investments)は2024年10月9日(水曜日)、77,099人の顧客に影響するデータ侵害を、メイン州司法長官事務所を通じて公表した。
司法長官事務所に提出したデータ侵害通知書の中で同社は、侵害は8月17日に発生し、同社の顧客基盤全体5,150万人のうち、77,099人の顧客に影響するデータ侵害が8月19日に発見されたと述べている。また、これは同社にとって2024年3月4日、3月18日、7月19日に次ぐ4度目の侵害であり、2024年8月に発生。同社のアカウントは侵害されなかったが、個人情報は漏えいしており、仮想通貨ユーザーを狙ったマルウェア攻撃も依然として増加しており、数万台のデバイスが感染しており、同社は通知の中で次のように述べている。
8月17日から8月19日の間に、第三者が最近開設した2つの顧客アカウントを使用して、許可なく特定の情報にアクセスし、入手しました。当社は8月19日にこの活動を検知し、直ちにアクセスを停止する措置を講じました。外部のセキュリティ専門家の支援を受けて、調査が速やかに開始されました。
4度目のデータ侵害を受けて信頼回復に努める
書簡の中で同社は、今事件で顧客のアカウントはアクセスされなかった述べているものの、同司法長官事務所が掲載したサンプルレターでは、第三者が入手した情報には顧客の個人情報が含まれていたが、漏えいによって何が盗まれたかは明記されていない。
侵害は8月17日から19日の間に発生し、攻撃者は新たに開設された2つの顧客アカウントを通じて顧客名やその他の個人識別情報にアクセス。フィデリティは侵害を検知した後、8月19日に不正アクセスを阻止。同社は、事件中にフィデリティのアカウントにアクセスされたことはなく、外部のセキュリティ専門家が問題解決に協力したと主張。9月13日付の公式発表で、認証情報共有に依存する第三者プラットフォームがフィデリティの顧客アカウントにアクセスして行動を起こすのを防ぐための措置を開始したと述べた。認証情報共有は顧客にセキュリティリスクをもたらすため、セキュリティを強化し、顧客データの露出を減らすためにこの変更をしたと述べた。
今回のインシデントを受けて同社、は侵害の影響を受けた人々に2年間、無料の信用監視およびID復元サービスを提供することで信頼回復に努める。なた、このサービスはTransUnion Interactive(トランスユニオン・インタラクティブ)によって提供され、個人の財務状況に影響を与える可能性のある異常な活動を検出するのに役立つ。また、同社は影響を受けた顧客に対し、警戒を怠らず、不正行為やID盗難の兆候がないか定期的に財務諸表を確認するよう注意喚起を促している。
