ファイナンシャルアドバイザーが無防備な状態でNASデバイスに保存していた顧客約350人の資産情報が流出しているのが見つかった。ユーザー名やパスワードを入力しなくてもアクセスできてしまう状態だったという。
個人の資産運用アドバイスを行っている米Ameriprise Financialの顧客の資産などの情報が、まとめてインターネット上に流出しているのが見つかったという。Mac向けツールを手掛けるMacKeeperが12月15日のブログで伝えた。
ブログによると、MacKeeperのセキュリティ研究者クリス・ビッカリー氏は12月5日ごろ、Ameripriseの顧客約350人の社会保障番号や銀行口座情報などの個人情報を含む資産情報や、Ameripriseの社外秘文書、複合鍵などが流出しているのを発見した。Shodanで無作為に検索したところ、顧客の資産の金額や投資利益率の経年変化といったポートフォリオ情報も見つかった。
流出した情報は、同社のファイナンシャルアドバイザーの自宅にあった1台のNetwork Attached Storage(NAS)デバイスに保存されていたもので、同デバイスはユーザー名やパスワードを入力しなくてもアクセスできてしまう状態だったという。このアドバイザーの勤務するAmeripriseの出張所にも同じNASデバイスがあって、インターネットを通じて互いに同期されていたことが判明した。
現在、Ameripriseは両方のデバイスの使用を停止し、社内で詳細を調べているという。問題のNASデバイスがAmeripriseの提供したものだったのかどうかについては証言に食い違いがあるものの、他にも同じようなデバイスがAmeripriseのオフィスに存在している可能性はあるとビッカリー氏は推測する。
流出した情報の中には、ファイナンシャルアドバイザーが使っていたパスワード管理ツールのバックアップファイルもあったという。このアドバイザーは、1つのマスターパスワードを使ってインターネットのログイン情報を全て管理していたといい、このマスターパスワードさえ破れば、全ての情報にアクセスできる状態だった。
パスワードに関連したヒントのファイルも含まれていたことから、その気になればパスワードを破り、Ameripriseの社内ネットワークに侵入することもできたかもしれない、とビッカリー氏は推測している。
Copyright © ITmedia, Inc. All Rights Reserved.