顧客の資産情報、従業員宅のNASから流出――米Ameriprise Financial
ファイナンシャルアドバイザーが無防備な状態でNASデバイスに保存していた顧客約350人の資産情報が流出しているのが見つかった。ユーザー名やパスワードを入力しなくてもアクセスできてしまう状態だったという。
個人の資産運用アドバイスを行っている米Ameriprise Financialの顧客の資産などの情報が、まとめてインターネット上に流出しているのが見つかったという。Mac向けツールを手掛けるMacKeeperが12月15日のブログで伝えた。
ブログによると、MacKeeperのセキュリティ研究者クリス・ビッカリー氏は12月5日ごろ、Ameripriseの顧客約350人の社会保障番号や銀行口座情報などの個人情報を含む資産情報や、Ameripriseの社外秘文書、複合鍵などが流出しているのを発見した。Shodanで無作為に検索したところ、顧客の資産の金額や投資利益率の経年変化といったポートフォリオ情報も見つかった。
流出した情報は、同社のファイナンシャルアドバイザーの自宅にあった1台のNetwork Attached Storage(NAS)デバイスに保存されていたもので、同デバイスはユーザー名やパスワードを入力しなくてもアクセスできてしまう状態だったという。このアドバイザーの勤務するAmeripriseの出張所にも同じNASデバイスがあって、インターネットを通じて互いに同期されていたことが判明した。
現在、Ameripriseは両方のデバイスの使用を停止し、社内で詳細を調べているという。問題のNASデバイスがAmeripriseの提供したものだったのかどうかについては証言に食い違いがあるものの、他にも同じようなデバイスがAmeripriseのオフィスに存在している可能性はあるとビッカリー氏は推測する。
流出した情報の中には、ファイナンシャルアドバイザーが使っていたパスワード管理ツールのバックアップファイルもあったという。このアドバイザーは、1つのマスターパスワードを使ってインターネットのログイン情報を全て管理していたといい、このマスターパスワードさえ破れば、全ての情報にアクセスできる状態だった。
パスワードに関連したヒントのファイルも含まれていたことから、その気になればパスワードを破り、Ameripriseの社内ネットワークに侵入することもできたかもしれない、とビッカリー氏は推測している。
関連記事
- 年末年始のセキュリティ対策、インシデントや製品のサポート終了に備えて
IPAとJPCERT/CCが年末年始の長期休暇に備えたセキュリティ対策を呼び掛けた。ソフトウェアの更新や機器などの持ち出し、緊急連絡体制の点検など注意事項を紹介している。 - 資生堂子会社に不正アクセス、個人情報42万人分が流出か
大手化粧品メーカー、資生堂の子会社「イプサ」の公式オンラインショップに、不正アクセスがあったことが発覚。最大で約42万人分の個人情報と、約5万件のクレジットカード情報が流出した可能性がある。 - 経団連にマルウェア「PlugX」「Elirks」が侵入、APT攻撃と判断
経団連の事務局コンピュータが外部と不正通信を行っていたことが判明し、調査からAPT(高度な標的型攻撃)と断定した。 - 米アダルトサイトで4億人強の情報流出、日本語ユーザーも65万人が被害
米Friend Finder Network傘下のアダルトサイトで4億を超すアカウント情報の流出が発覚した。日本語のユーザー約65万人の情報も含まれる。 - 新生銀行子会社で情報漏えいの可能性、「未知のマルウェア」と後から判明
セキュリティシステムでマルウェアのダウンロードが検知されたものの、ダウンロード先PCのセキュリティソフトでは検知できないものだったという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.