ニュース
» 2016年12月19日 08時18分 UPDATE

顧客の資産情報、従業員宅のNASから流出――米Ameriprise Financial

ファイナンシャルアドバイザーが無防備な状態でNASデバイスに保存していた顧客約350人の資産情報が流出しているのが見つかった。ユーザー名やパスワードを入力しなくてもアクセスできてしまう状態だったという。

[鈴木聖子,ITmedia]
photo 米Ameriprise FinancialのWebページ

 個人の資産運用アドバイスを行っている米Ameriprise Financialの顧客の資産などの情報が、まとめてインターネット上に流出しているのが見つかったという。Mac向けツールを手掛けるMacKeeperが12月15日のブログで伝えた。

 ブログによると、MacKeeperのセキュリティ研究者クリス・ビッカリー氏は12月5日ごろ、Ameripriseの顧客約350人の社会保障番号や銀行口座情報などの個人情報を含む資産情報や、Ameripriseの社外秘文書、複合鍵などが流出しているのを発見した。Shodanで無作為に検索したところ、顧客の資産の金額や投資利益率の経年変化といったポートフォリオ情報も見つかった。

 流出した情報は、同社のファイナンシャルアドバイザーの自宅にあった1台のNetwork Attached Storage(NAS)デバイスに保存されていたもので、同デバイスはユーザー名やパスワードを入力しなくてもアクセスできてしまう状態だったという。このアドバイザーの勤務するAmeripriseの出張所にも同じNASデバイスがあって、インターネットを通じて互いに同期されていたことが判明した。

photo MacKeeperのブログ。Ameripriseの顧客における、資産の金額や投資利益率の経年変化といったポートフォリオ情報が漏えいしているという

 現在、Ameripriseは両方のデバイスの使用を停止し、社内で詳細を調べているという。問題のNASデバイスがAmeripriseの提供したものだったのかどうかについては証言に食い違いがあるものの、他にも同じようなデバイスがAmeripriseのオフィスに存在している可能性はあるとビッカリー氏は推測する。

 流出した情報の中には、ファイナンシャルアドバイザーが使っていたパスワード管理ツールのバックアップファイルもあったという。このアドバイザーは、1つのマスターパスワードを使ってインターネットのログイン情報を全て管理していたといい、このマスターパスワードさえ破れば、全ての情報にアクセスできる状態だった。

 パスワードに関連したヒントのファイルも含まれていたことから、その気になればパスワードを破り、Ameripriseの社内ネットワークに侵入することもできたかもしれない、とビッカリー氏は推測している。

関連キーワード

ブログ | NAS | 情報流出


Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -