JPMorgan Chase & Coは、2014年に入ってから自社コンピュータシステムへの不正侵入があり、計8300万件の口座情報が流出したことを明らかにした。史上最大規模のデータ流出事件の1つとなった。
米国時間10月2日にJPMorganが証券取引委員会(SEC)に提出した文書によると、名前、住所、電話番号、電子メールアドレス、それにユーザーに関連したJPMoorgan Chaseの内部情報が流出したという。合計で約7600万の世帯、約700万件の小規模企業の口座に影響するという。
口座番号、パスワード、ユーザーID、生年月日、社会保障番号については、流出の形跡はないという。同社はまた、これまでのところ「今回のインシデントが関連した、顧客に対する通常と異なる詐欺」は発生していないとも述べている。
JPMorganがコンピュータシステムへの不正アクセスを検出したのは、2014年8月のことだ。このサイバー攻撃は、従業員の脆弱なコンピュータを、同社のネットワークにVPNトンネルを作成するマルウェアに感染させたとみられている。米連邦捜査局(FBI)はJPMorganと協力して、この事件についての調査を進めている。
セキュリティ専門家は、盗まれた情報がフィッシングやコールドコールなど他の不正行為に悪用される可能性がある、と警告している。Malwarebytesのマルウェアインテリジェンス担当アナリスト、Chris Boyd氏は米ZDNetに対し次のようにコメントした。
盗まれたデータはスパマーにとって宝の山だ。(中略)流出した7600万件のうち過去にもデータが流出しているものについては、攻撃者は容易にターゲットの全体像を構築してソーシャルエンジニアリングを加えることができる。電子メールはランダムではないように見せることができるし、電話はより説得力があるものとなる。
今回の流出に関連している人は、今後数カ月、JPMorganを名乗る電子メールに注意すべきだ。もし怪しいと思ったら、発信元を確認すべきだ。
そのような指摘にもかかわらず、JPMorganはWebサイトで、顧客はパスワードや口座情報を変更する必要はないとしている。同社の広報担当Patricia Wexler氏はReutersに対し、無料のクレジットモニタリングを提供する予定はないとも語っている。クレジットモニタリングはセキュリティ問題に影響する顧客向けの重要なサービスとなるものだが、「財務情報、口座情報、個人を特定できる情報は影響を受けていない」ため、と理由を説明している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
