セキュリティ機関SANS Institute、フィッシング詐欺メールで個人情報流出

1通のフィッシング詐欺メールが原因で、2万8000件もの個人情報が流出したとみられる。SANSは被害に遭ったユーザーにメールで通知している。

[鈴木聖子，ITmedia]

　米国のセキュリティ研究教育機関のSANS Institute（以下、SANS）は、フィッシング詐欺メールが原因で従業員のメールアカウントが不正アクセスを受け、個人情報が外部に流出したと発表した。

インシデントの詳細について伝えるSANSのブログ記事（出典：SANS）

　SANSによると、今回の問題は、2020年8月6日に判明したという。電子メールの設定やルールに関する体系的な検証の過程で、不審な転送ルールが見つかったため、インシデント対応プロセスを開始。結果、特定の個人のメールアカウントから、不審な外部のメールアドレスに多数のメールが転送されているのが見つかった。

　外部のメールアドレスに転送されていたメールは513通に上っていた。　一部には、メールアドレスや氏名、肩書、企業名、住所、居住国といった個人情報を記載したファイルが含まれていた。SANSは、およそ2万8000件の個人情報が流出したとしている。

　SANSは個人情報流出の被害者に関する詳細は明らかにしていない。ただし、インシデントレポートによれば、SANSが主催するセキュリティイベント「DFIR Summit & Training 」の参加者の一部が漏えいの影響を受けたとみられる。

1通のフィッシング詐欺メールが攻撃の引き金に