米国のフィンテック企業が、元従業員による個人情報への不正アクセスがあったとして、顧客に通知しました。
FinWise銀行でのこの事件は2024年5月31日に発生しましたが、発覚したのは1年以上後の2025年6月18日だったと、メイン州司法長官事務所への届け出で明らかになりました。
「FinWiseは、元従業員が退職後にFinWiseのデータへアクセスしたことによるデータセキュリティインシデントを経験しました」と漏洩通知書には記載されています。
「影響を受けたデータの一部には、American First Finance(AFF)のデータも含まれています。」
FinWiseは、消費者向けに分割払いローンを提供するため、信用貸付業者のAFFと提携しています。
内部脅威についてさらに読む:米国企業の61%が内部関係者によるデータ漏洩被害に
通知によると、FinWise/AFFの顧客68万9,000人がこの内部インシデントの影響を受けました。通知書では、関連する個人情報のカテゴリのほとんどが伏せられており、顧客の氏名が漏洩したことのみが明らかにされています。
「このインシデントを知ったFinWiseは直ちに調査を開始し、外部のサイバーセキュリティ専門家と協議の上、元従業員が退職後に機密データへアクセスしたかどうかを調べました」と付け加えています。
ユタ州に本社を置くFinWiseは、影響を受けた顧客に対し、12か月間の無料クレジットモニタリングおよびID盗難防止サービスを提供し、詐欺警告や信用情報のセキュリティ凍結の設定、無料の信用情報レポートの取得を推奨しています。
「さらに、金融口座の明細や信用情報レポートを定期的に確認し、不正や異常な活動がないか常に注意を払ってください」とも述べています。
ほとんどの企業が内部脅威の検知体制を欠如
ExabeamのCISO、ケビン・カークウッド氏は、90%の組織が内部脅威を効果的に検知・対応するためのリソースを持っていないと述べました。
「組織は、1人の人物がすべての情報にアクセスできないよう、機密情報へのアクセスの優先順位付けとセグメント化をより徹底しなければなりません」と彼は付け加えました。
「今回のケースでは、関係する脅威アクターはFinWiseから解雇されていたにもかかわらず、数十万件の顧客記録を盗むのに必要な知識を持っていました。」
カークウッド氏は、CISOはサイバー防御への投資を増やすとともに、従業員向けの教育プログラムも強化し、AIによる脅威にも常に注意を払うべきだと主張しています。
「組織は、機密情報への不要または不正なアクセスを減らすための明確なガイドラインを提供しなければなりません」と彼は説明しました。
翻訳元: https://www.infosecurity-magazine.com/news/finwise-bank-warns-of-insider-data/