世界最大の信用金庫Desjardinsは、内部犯行により290万件の個人情報が持ち出されたと発表しました。
www.zdnet.com
本日、カナダ最大の信用組合であり世界最大の銀行の1つであるDesjardinsは、元従業員によるセキュリティ侵害を発表しました。
銀行のウェブサイトに掲載された声明の中で、銀行の従業員は、許可なく、データベースから290万人の会員(270万人のホームユーザー、173,000の企業と関連連絡先)のデータを入手したと述べました。
銀行は先週ケベック州警察からの事件を知った後6月14日金曜日に従業員を解雇したと述べた。
パスワードやカード番号は公開されていません
Desjardins氏によると、システムからは個人を特定できる情報(PII)のみが取得され、電子バンキングのパスワード、セキュリティに関する質問、アカウントのPIN、クレジットカードやデビットカードの番号は取得されません。
ホームユーザーの場合、公開された情報には、姓名、生年月日、社会保険番号、住所、電話番号、電子メールアドレス、銀行取引習慣およびDesjardins製品の詳細が含まれていました。
法人顧客の場合、公開される情報には、会社名、会社の住所、会社の電話番号、所有者の名前、およびAccèsAffairesアカウントのユーザーの名前が含まれます。
(ZDnet記事より引用)※機械翻訳
■公式発表 Important message for our members
◆キタきつねの所感
銀行員の内部犯行事件は、最近サイバー犯罪が多かったので、久々に目にした気がします。
いくつかの記事を読んでみたのですが、元銀行員(既に解雇されています)がデータベースから顧客情報を不正に収集し、金融機関以外の第三者に共有(転送)した様です。漏洩したデータは名前、住所、生年月日、社会保険番号、電子メールアドレス、および銀行取引情報が含まれている様ですが、パスワード、個人識別番号、セキュリティに関する質問は、対象外との事。
Desjardinsはカナダ最大の信用金庫で、世界でも上位にランクする銀行です。銀行の発表では1900年設立以来初めてのデータ侵害事件だと言う事でしたが、どうも前にも事件が発生した事があるようです。いずれにせよ、銀行の中でも安全(セキュリティ対策がしっかりしている)と思われていたにも関わらず、内部犯行を許してしまったという事で、アメリカやカナダでは非常に注目を浴びています。
更に言えば、事件の翌日には顧客の情報管理が不十分だったとして、集団訴訟(1件は1人当たり300ドル請求)が起きています。既に2件以上の集団訴訟が出てきている様です。
globalnews.ca
銀行側の発表や各種ニュースサイトから断片的に分かるのは、疑わしい取引が昨年12月に検知され、銀行側はどうやら数カ月の調査をして、ようやく元従業員による漏洩と突き止めた様です。
銀行側は今回の侵害の原因について、詳細な部分は発表していません。
なので、実際がどうであったのかは想像の域を超えませんが、1人の従業員が数百万件の個人情報を抜き出してしまえる、という所(権限管理、あるいは特権ユーザの監視)に問題があったのではないかな、と推測します。
内部犯行というのは、最近はそう頻繁には発生していません。しかし漏洩事件が出た際の、影響は時にサイバー攻撃よりも大きくなります。そうした意味では、従業員は裏切るかも知れない、あるいは従業員は問題なくても、その権限を不正に窃取するハッカーが居るかもしれない、というゼロトラストの思想が重要なのかも知れません。この事件の記事を読んでいて、人的対策でも多層防御の重要性を改めて感じました。
更新履歴