上場ブロックチェーン金融会社Figureで顧客データ漏えい発覚
ブロックチェーン金融会社Figure Technologyは、従業員を標的としたソーシャルエンジニアリング攻撃の後、顧客データ漏えいを確認した。
Figure Technologyは、従業員がソーシャルエンジニアリング攻撃の標的となり、ハッカーが顧客情報にアクセスしたことを明らかにした。2018年に設立されたFigureは、Provenance(プロヴェナンス)ブロックチェーン上で融資プラットフォームを運営し、住宅ローン担保融資に重点を置いている企業だ。
同社によると、この攻撃により、権限のない第三者が個人データを含む少数のファイルをダウンロードできたという。同社は声明の中で、従業員がソーシャルエンジニアリング攻撃を受け、外部の第三者が従業員のアカウントを通じてファイルにアクセスできたことを確認したと主張。同社は、この攻撃を迅速に阻止し、影響を受けたファイルを特定するためにフォレンジック会社を雇用したと述べている。
漏えいしたデータ
ハッカー集団ShinyHuntersは、ダークウェブのリークサイトで犯行声明を出しており、データのサンプルを検証した。
TechCrunchによると、漏えいしたファイルには顧客の氏名、自宅住所、生年月日、電話番号が含まれている。ShinyHuntersは、Figureが身代金の支払いを拒否し、約2.5ギガバイトのデータが公開されたと主張。こうした情報は、なりすまし詐欺や標的型フィッシング攻撃に悪用される可能性がある。
Figureはデータ量については明らかにしていないが、影響を受けた個人に通知し、無料の信用調査サービスを提供していると述べた。
ソーシャルエンジニアリング攻撃による被害者には有名大学も
ShinyHuntersのメンバーはTechCrunchに対し、今回の侵害はシングルサインオンプロバイダーのOktaを利用する組織を標的とした広範なキャンペーンの一部であり、他の被害者には、ハーバード大学とペンシルベニア大学も含まれている。
ソーシャルエンジニアリング攻撃は通常、従業員を騙してシステムへのアクセスを許可させたり、認証情報を共有させたりすることを目的とした、偽メール、電話、メッセージで構成されている。Chainalysis(チェイナリシス)の2026年1月の報告書によると、昨年(2025年)、AI(人工知能)を活用したなりすまし詐欺によって170億ドル(約2.6兆円)以上の仮想通貨が盗まれたことが明らかになった。
データによると、資金を食いつぶす攻撃は昨年ほど激しくはないものの、攻撃者は依然として適応を続けており、企業の個人情報に関わる情報漏えいは、特に漏えいした情報に生年月日や連絡先情報が含まれている場合、新たなフィッシング攻撃の標的となる可能性があるだけに、一層の注意が必要だ。
影響を受けたユーザー数や規制当局への通知など、今後の情報開示によって、このインシデントが限定的な業務上の問題にとどまるか、あるいはより広範なコンプライアンス上の課題にエスカレートするかが決まると予想される。
