ハッカーがEYのサードパーティIT支援プラットフォームに侵入、クライアントの税務書類を窃取

世界四大会計事務所の一つであるErnst & Young LLP(EY)は、外部の第三者がベンダー管理のITサービスプラットフォームに侵入し、クライアントの税務データを含む書類を窃取するデータ侵害が発生したことを公表しました。

同社は2026年7月15日にカリフォルニア州司法長官室へ、翌日にはバーモント州の規制当局へ正式な侵害通知を提出し、全米の対象クライアントに対してインシデントの範囲を確認しています。

EYは、クライアント向けの税務関連業務を支援するために社内IT担当者が使用するサードパーティ製ITサービス管理プラットフォームを利用しています。

このシステムを通じて登録されたサポートチケットには、クライアントの機密性の高い税務情報を含む添付書類が頻繁に含まれており、このプラットフォームは価値の高い標的となっていました。

EYは2026年4月23日にプラットフォーム内での異常な活動を初めて検知し、直ちにインシデント対応手順を発動しました。

独立系サイバーセキュリティ企業と協力して調査を進めた結果、実際の侵入期間は検知よりも約1カ月早かったことが判明しました。

不正アクセスを行った第三者は2026年3月28日から2026年4月12日の間にプラットフォームへアクセスし、書類をダウンロードしていました。つまり、侵害が特定される前におよそ2週間にわたって検知されないままアクセスを許していたことになります。

この約3週間の検知の遅れにより、脅威アクターは多数のEYクライアントに関するデータを外部に持ち出す十分な機会を得ていました。

窃取された書類には、EYの機関投資家向けクライアントが管理する個人の投資保有情報に紐づく個人情報のほか、税務申告書作成に使用される財務データが含まれていました。

バーモント州司法長官室への別の届出によると、流出した情報には社会保障番号、金融口座コード、クレジットカードまたはデビットカードの口座情報が含まれていた可能性があるとされています。

EYが対象者に送付した通知書にはプレースホルダー形式のデータ項目欄が使われており、流出したデータの具体的な種類は受取人や事業部門によって異なることがうかがえます。

EYはこのインシデントを封じ込めたとしており、プラットフォームへの不正アクセスは既に阻止され、システムは保護されたと確認しています。同社は連邦法執行機関に通報し、窃取された情報が他所で流出していないか引き続き監視を続けています。

EYは現時点で、流出したデータが悪用された証拠や、特定の個人が意図的に標的とされたことを示す兆候はないとしています。

二次被害のリスクを軽減するため、EYは対象者に対し、Experian IdentityWorksを通じた24カ月間の無料クレジット・アイデンティティ監視サービスとID復旧サービスを提供しており、申し込み期限は2026年10月31日です。

本稿執筆時点では、ランサムウェアやデータ恐喝グループがこの侵入について公に犯行声明を出した例はなく、脅威アクターの正体も明らかになっていません。

今回のインシデントは、大手プロフェッショナルサービス企業におけるサードパーティリスクの露出が依然として続いていることを浮き彫りにしています。これは、EYがイタリア支社に関連する無関係な4TBのクラウドストレージの設定不備を公表してからおよそ9カ月後の出来事です。

EYの事例は、企業の中核ネットワークではなく、ベンダー管理のITチケッティング・サポートインフラを起点とする2026年の一連の侵害事例に加わるものであり、この経路は機密性の高いクライアントデータへの間接的なアクセスを狙う攻撃者にますます好まれるようになっています。

より強固な予防的防御で重大インシデントと金銭的損失を防ぎましょう。15,000のSOCが利用するライブ脅威フィードを統合する

翻訳元: https://cyberpress.org/hackers-breach-ey-third-party-it-support-platform/

ソース: cyberpress.org