Endesa、Energía XXIの顧客に影響するデータ侵害を報告
インシデントの概要
スペインのエネルギー企業Endesaは、規制事業者であるEnergía XXIとともに、社内システムへの不正侵入を受けたことを受け、顧客への連絡を開始しました。このインシデントにより、Endesaの商用プラットフォームに関連する顧客の個人情報および契約関連情報の一部が露出しました。このデータ侵害が公表されたことを受け、現在調査が進められています。
Endesaはスペイン最大の電力会社で、Enelグループの一員です。スペインおよびポルトガルの数百万世帯に電気とガスを供給しており、総計で約2,200万人の顧客にサービスを提供しているとしています。今回の侵害は、スペインの規制エネルギー枠組みの下で運営されるEnergía XXIの顧客に特に影響します。
不正アクセスの詳細
顧客に送付された通知の中で、Endesaは侵害について詳述し、同社の商用プラットフォームへの不正アクセスがあったと示しました。この侵害により、攻撃者がエネルギー契約に関連する機微な顧客データを閲覧できた可能性があります。同社はこのセキュリティインシデントについて、次の声明で認めました。
「当社が実施しているセキュリティ対策にもかかわらず、お客様のエネルギー契約に関連する特定の個人データ(お客様のものを含む)に対する、不正かつ不当なアクセスの痕跡を検知しました。」
特筆すべき点として、Endesaは、アカウントのパスワードは安全に保たれていた一方で、他の種類のデータが本インシデント中にリスクにさらされたと説明しました。
リスクにさらされたデータの種類
進行中の調査により、攻撃者が以下を含むさまざまな個人情報にアクセスした可能性があることが判明しています。
- 基本的な本人確認情報
- 連絡先情報
- 国民身分証番号
- 契約関連情報
- IBAN番号などの支払い情報の可能性
Endesaは、ログイン認証情報は侵害されていないと強調しており、これにより直接的なアカウント乗っ取りの可能性は大幅に低下します。
Endesaによる対応措置
侵害を検知した後、Endesaは状況の封じ込めと対処を目的として、セキュリティインシデント対応プロトコルを速やかに発動しました。公式声明において、同社は開始した措置を次のように詳述しています。
「Endesa Energíaが本インシデントを認識した直後に、定められたセキュリティプロトコルおよび手順が発動され、封じ込め、影響の軽減、再発防止のために必要な技術的・組織的措置をすべて講じました。」
これらの予防的措置には、侵害された社内アカウントの無効化、ログ記録の異常の精査、影響を受けた顧客への通知、さらなる不正活動を検知するための監視強化が含まれます。Endesaによれば、同社の全体的な運用およびサービスは今回の侵害の影響を受けていないとのことです。
当局への通知と継続中の調査
規制遵守の一環として、Endesaは初期評価後、スペインデータ保護庁およびその他の関係当局に対し、侵害について速やかに報告しました。現在の調査は共同で行われており、社内チームと外部パートナーの双方が関与して、セキュリティインシデントの原因と影響を特定しています。
Endesaは顧客の不安に対し、次のように述べています。
「本通知日時点で、本インシデントの影響を受けたデータが不正に使用された証拠はなく、お客様の権利および自由に対する高リスクの影響が現実化する可能性は低いと考えられます。」
顧客向けのリスクに関する注意喚起
現時点で不正利用は確認されていないものの、Endesaは露出したデータに伴う可能性のあるリスクについて顧客に警告しています。同社は、なりすまし(ID盗用)、データの悪用、フィッシングの試み、迷惑な連絡に対して警戒するよう促しています。
影響を受けた可能性のある人々には、不審なメッセージをEndesaのカスタマーサービスに報告し、見知らぬ相手に個人情報や機微情報を共有しないよう助言されています。詐欺の懸念がある顧客には、地元の法執行機関に相談することも推奨されています。
本件に関する追加情報の問い合わせは、The Cyber Express TeamによりEnergía XXIおよびEndesaに向けられています。最新の更新時点では、いずれの組織からもこれ以上の公式回答は得られていません。
翻訳元: https://cyberwarriorsmiddleeast.com/endesa-alerts-customers-about-data-breach-affecting-energia-xxi/
