大規模なセキュリティ侵害が、米国ミシガン州に拠点を置くフィンテックおよびデータサービス企業700Creditに影響を及ぼしました。同社は全米の自動車、RV、パワースポーツ、マリン関連のディーラーに対し、消費者向けの融資オプションを支援しています。同社は侵害通知を通じて、「不正アクセス」事案により、特定の顧客記録がコピーされたと述べました。
侵害のタイムラインと盗まれたデータ
700Creditは2025年10月25日頃、同社のWebアプリケーション内で異常な活動を初めて検知しました。同社は直ちに第三者のコンピュータ・フォレンジック専門家とともに調査を開始しました。調査の結果、この事案は短時間の出来事ではなく、個人データが5か月にわたり盗まれていたことが判明し、2025年5月から10月にかけてディーラーの記録から持ち出されていました。
この侵害は大規模で、全米で少なくとも560万人の個人情報が露出しました。不正アクセスにより、サイバー犯罪者は同社の顧客基盤である約18,000のディーラーから収集されたデータを盗み出すことができました。
この事案で侵害された個人情報は個人ごとに異なりますが、残念ながら氏名、住所、生年月日、社会保障番号(SSN)など、機微な本人確認情報が含まれています。
同社は、最大限の注意を払ってこの通知を行っていると説明しており、現時点では本件が直接の原因となって不正行為が発生したという証拠はないとしています。
同社の迅速な対応
700Creditは対応のために迅速に行動し、事案はアプリケーション層に限定され、社内ネットワークには影響していないことを確認しました。同社は2025年11月21日にディーラー顧客への通知を開始し、現在は影響を受けたすべての消費者に情報提供を行っています。
この通知プロセスには、ディーラーに代わって2025年12月22日頃から書面通知の受領が始まるメイン州の住民19,225人も含まれます。700Creditはまた、FBIおよび連邦取引委員会(FTC)にも適時に報告しました。
影響を受けた個人が取るべき手順
本件の影響を受けた可能性のある消費者を支援するため、700CreditはTransUnion(Cyberscout)を通じて12か月間の無料クレジット監視サービスを提供しています。個人は通知書に記載された手順に従って自ら登録する必要があります。
同社は、ミシガン州だけでも16万人超を含む影響を受けた個人に対し、直ちに保護措置を講じるよう強く促しています。具体的には、クレジットレポートや口座明細を定期的に確認し、フィッシングメールやなりすまし(ID)盗難に警戒することを意味します。700Creditはまた、信用情報ファイルに不正警告(フロードアラート)またはセキュリティ凍結を設定する方法について、具体的な案内も提供しています。
セキュリティ不備に関する専門家の分析
Hackread.comへのコメントとして、Pixel PrivacyのConsumer Privacy ChampionであるChris Hauk氏は、この侵害と消費者が次に取るべき行動について見解を共有し、次のように述べました。「侵害の影響を受けた人は、自分の名義で新しい口座が開設されていないか常に警戒する必要があります。盗まれた情報には、新しい口座を開くのに必要な基本情報のうち4つが含まれています。可能であれば、被害者に提供されているクレジット監視と身元保護をぜひ利用すべきです。」
翻訳元: https://hackread.com/700credit-data-breach-5-million-consumers/
