米国の上位ランクの会計事務所であるSax LLPは、16か月以上にわたり公表されていなかったサイバー攻撃により機微な個人データが侵害されたとして、22万人超に通知を開始した。
ニュージャージー州に拠点を置くSaxは、年商1億ドル超のトップ100に入る会計・アドバイザリー企業だ。
Saxはメイン州司法長官事務所への提出書類で、2024年8月7日にネットワーク侵入を検知したことを明らかにした。しかし、調査の完了と影響を受けた個人の連絡先情報の特定には、1年以上を要したという。
調査の結果、攻撃者は2024年7月下旬に同社システムへアクセスした可能性が高く、228,876人分の個人情報を含むファイルを入手したとみられることが判明した。
Saxによれば、侵害された情報は個人によって異なるが、氏名、生年月日、社会保障番号(SSN)、運転免許証または州発行の身分証番号、パスポート番号などが含まれ得る。
SecurityWeekは、Saxへの攻撃について、既知のランサムウェアグループが犯行声明を出した事例を確認していない。公開リークサイトを持たないサイバー犯罪者に狙われた可能性もあるほか、データの公開や第三者への流通を防ぐために同社が身代金を支払った可能性もある。
同社は影響を受けた個人に対し、12か月間の無料のクレジット監視、ダークウェブ監視、クレジット保護、ならびに身元復旧サービスを提供している。
しかし、被害者への通知が大幅に遅れたことで、これらのサービスは実質的に無意味になっている。というのも、サイバー犯罪者は通常、侵害後最初の数か月以内に盗まれた情報を収益化するためだ。
翻訳元: https://www.securityweek.com/top-us-accounting-firm-sax-discloses-2024-data-breach-impacting-220000/
