Bank of Americaは、技術パートナーであるInfosys McCamish Systems(IMS)が昨秋にランサムウェア攻撃を受けたことにより、顧客の機密データが漏洩したと顧客に警告しました。この攻撃により、少なくとも57,028人の顧客が影響を受けました。IMSは、保険プロセス管理ソリューションとサービスを提供する技術環境の一部のシステムが利用できなくなり、Bank of Americaの繰延補償プランに関連するデータが漏洩したと報告しています。このデータには、人々の名前や社会保障番号などの個人識別情報が含まれていました。
IMSは、この事件によってどの個人情報がアクセスされたかを確定することは難しいと述べていますが、名前、社会保障番号、住所、ビジネスメールアドレス、生年月日、その他のアカウント情報が含まれていた可能性があります。LockBitランサムウェアグループは、攻撃によって暗号化された2,000以上のIMSシステムから盗まれたデータの販売を主張する広告を、ダークウェブサイトに掲載しました。
IMSは、Bank of Americaに対し、同行がサービスを提供する繰延補償プランに関するデータが侵害された可能性があることを通知しました。IMSは、事件への対応として、第三者のフォレンジック会社を雇い、悪意のある活動の封じ込めと修復、システムの再構築、対応能力の強化を支援しました。IMSは、現在、IMS環境内での脅威アクターのアクセス、ツール、または持続性の証拠は見つかっていないと述べています。
Bank of Americaは、漏洩したデータが不正利用されたという報告は受けていないとしていますが、影響を受けた顧客に対して、Experian IdentityWorksによって提供される身元盗用保護サービスの2年間の無料メンバーシップを提供しています。
【ニュース解説】
Bank of Americaは、技術パートナーであるInfosys McCamish Systems(IMS)が昨年秋にランサムウェア攻撃を受けたことにより、57,028人以上の顧客の機密データが漏洩したと警告しました。このデータには、社会保障番号や住所、ビジネスメールアドレス、生年月日などの個人情報が含まれている可能性があります。IMSはこの攻撃により、一部のシステムが利用できなくなり、Bank of Americaの繰延補償プランに関連するデータが漏洩したと報告しています。
この事件は、サードパーティーを通じたデータアクセスがいかに一般的な脅威となっているかを改めて浮き彫りにしました。企業は、自社だけでなく、パートナー企業のセキュリティ対策にも注意を払う必要があります。ランサムウェア攻撃は、データを暗号化し、身代金を要求することで知られていますが、この事件では、LockBitランサムウェアグループが攻撃を主張し、盗まれたデータの販売を試みたことが報告されています。
IMSは事件発生後、第三者のフォレンジック会社を雇い、悪意のある活動の封じ込め、システムの再構築、対応能力の強化に取り組んでいます。これまでのところ、IMS環境内での脅威アクターのアクセスや持続性の証拠は見つかっていないとのことです。
このようなデータ漏洩事件は、個人情報の不正利用や詐欺のリスクを高めるため、Bank of Americaは影響を受けた顧客に対して、身元盗用保護サービスを2年間無料で提供しています。これは、将来的な不正利用から顧客を保護するための一時的な対策です。
この事件から学ぶべき重要な教訓は、企業がサードパーティーのセキュリティ対策を強化し、リスク管理や脆弱性評価を徹底することの重要性です。また、ソフトウェアの脆弱性を早期に検出し、攻撃を未然に防ぐために、サードパーティー製品のソフトウェア構成表(SBOM)の要求など、新たな対策を検討する必要があります。長期的には、企業は自社だけでなく、パートナー企業のセキュリティ対策にも責任を持つべきであり、サードパーティーのリスク管理を強化することが不可欠です。
from BofA Warns Customers of Data Leak in Third-Party Breach.
