TokyoBlackHatNews

csoonline.com 5分で読了

JPMorgan、Citi、Morgan StanleyがSitusAMCのデータ侵害による影響を評価

この侵害は、金融サービス業界におけるサードパーティのサイバーリスクの増大を浮き彫りにしており、ベンダー関連のインシデントは前年比15%増加しています。

JPMorgan Chase、Citi、Morgan Stanleyは、数百の金融機関向けに住宅ローンデータを処理するサードパーティベンダーであるSitusAMCへのサイバー攻撃を受け、顧客データの潜在的な漏洩について評価している米国の主要銀行の一部です。

ニューヨークに拠点を置く同社は11月12日に侵害を発見し、11月22日に攻撃者が同社システムから情報にアクセスしたことを確認したと、会社のアドバイザリーで述べています。SitusAMCによると、漏洩したデータには会計記録や法的契約書などの企業情報が含まれており、「一部の顧客の顧客に関する特定のデータも影響を受けた可能性がある」としています。

「この影響の範囲、性質および程度については、現在同社および第三者アドバイザーによって調査中です」とアドバイザリーは述べています。

ニューヨーク・タイムズ紙は土曜日、JPMorgan Chase、Citi、Morgan StanleyがSitusAMCから顧客データ漏洩の可能性について通知を受けた機関の一部であると、事件について説明を受けた5人の話として報じました。

CSOの取材に対し、JPMorganはこの侵害についてコメントを控えました。CitiとMorgan Stanleyはコメント要請にすぐには応じませんでした。

FBI「業務への影響は報告されていない」

FBI長官のカシュ・パテル氏はニューヨーク・タイムズに対し、同局が影響を受けた組織と協力して侵害の評価を進めていると述べました。カシュ氏によると、FBIは現時点で銀行サービスへの業務上の影響は確認しておらず、引き続き調査を進めているとのことです。

約5,000人の従業員を擁し、複数のプライベートエクイティ企業が所有するSitusAMCは、大手貸し手向けにローンの組成、サービス、規制遵守サービスを提供しています。同社の住宅ローン処理業務では、ローン申請書に記載されている社会保障番号、金融口座情報、雇用記録など、広範な個人情報を取り扱っています。

同社は、現在このインシデントは封じ込められており、サービスは完全に稼働していると述べています。暗号化マルウェアは関与しておらず、脅威アクターはランサムウェアの展開ではなくデータの持ち出しに注力していたとアドバイザリーは指摘しています。

侵害の範囲は引き続き調査中です。SitusAMCは、インシデント後に認証情報のリセット、リモートアクセスツールの無効化、ファイアウォールルールの更新、セキュリティ設定の強化など、複数のセキュリティ対策を実施したと述べています。

サードパーティ侵害が加速

SitusAMCのインシデントは、金融サービス業界でサードパーティベンダーを標的としたサイバー攻撃が増加しているという広範な傾向の一部です。Venminderの「State of Third-Party Risk Management 2025」調査によると、2024年のデータ侵害の30%がサードパーティに起因しており、2023年から15%増加しています。この調査では、昨年49%の組織がサードパーティのサイバーセキュリティインシデントを経験したことが明らかになりました。

金融サービス業界では、特にベンダー関連のサイバー攻撃が活発化しています。FINRAは、2024年前半にインシデントが大幅に増加し、脅威アクターがサードパーティプロバイダーが使用するシステム管理ツールや技術製品の脆弱性を標的にしていると観察しています。2024年の主なインシデントには、Microsoft、Snowflake、Dropboxで発生したデータ侵害が含まれ、金融サービス企業に広範な影響を及ぼしました。

10月には、ニューヨーク州金融サービス局が、サービスプロバイダーへのアウトソーシング時にも規制対象事業者がサイバーセキュリティの全責任を負うことを強調するガイダンスを発表しました。

SECも2024年にRegulation S-Pを改正し、企業のインシデント対応プログラムに、デューデリジェンスとモニタリングを通じてサービスプロバイダーを監督するための書面による方針を含めることを義務付けました。この規則は、企業がサービスプロバイダーの監督を合理的に設計された書面による方針を確立し、維持し、施行することを求めています。

FINRAもまた、加盟企業に対し、サードパーティベンダーへのアウトソーシングに関連する監督義務を再度喚起しています。自主規制機関は、企業がサードパーティベンダーが実施するあらゆる活動や機能について監督体制を確立し、維持する義務があると指摘しています。

調査は継続中

同社は問い合わせ用の専用メールアドレスを設置し、調査が進展するにつれて顧客に最新情報を提供すると述べています。アドバイザリーでは、影響を受ける可能性のある機関や顧客の数や、フォレンジック調査の完了時期については明記されていません。

「当社はこの件について、クライアントと直接かつ定期的に連絡を取っています」とSitusAMCは声明で述べています。「影響を受けた可能性のあるデータの分析に引き続き注力し、調査が進展するごとにクライアントへ直接最新情報を提供します。」

翻訳元: https://www.csoonline.com/article/4095182/jpmorgan-citi-morgan-stanley-assess-fallout-from-situsamc-data-breach.html

ソース: csoonline.com
#2025年サイバー攻撃 #AI規制対応 #Citizen Lab #CRMデータ漏洩 #JPMorgan #Morgan Stanley #SitusAMC #カナダ金融サービス #サードパーティリスク #個人情報流出

関連記事

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く

トランプ大統領、撤回したAI大統領令の一部をサイバーセキュリティ重視の指令として復活