カナダ投資規制機構(CIRO)は、昨年被ったデータ侵害により、約75万人のカナダ人投資家が影響を受けたことを確認した。
同機構は8月18日にこのインシデントを公表したが、今年1月14日に大規模なフォレンジック調査を完了した。
CIROは、投資ディーラー、投資信託ディーラー、および取引活動に関するカナダの全国的な自主規制機関である。2023年に設立され、現在は同国の金融規制枠組みの中核を成す柱の一つとなっている。
昨夏、CIROは、同機構のシステム上でサイバーセキュリティ上の脅威を8月11日 に特定したと発表し、調査を開始するとともに、重要度の低い一部のシステムを停止して対応した。
予備的な結果では、加盟企業およびその登録従業員に関する一部の個人情報が持ち出されたことが示されたが、インシデントの全容を把握するにはさらに時間を要するとされていた。
- 生年月日
- 電話番号
- 年収
- 社会保険番号
- 政府発行の身分証明書番号
- 投資口座番号
- 口座明細
CIROは、ログイン認証情報やアカウントの秘密の質問は、同機構のシステムにそのような情報を保存していないため、影響を受けていないと強調した。
同機構は、このインシデントの調査に9,000時間以上を費やし、盗まれたデータが悪用されたりダークウェブ上に公開されたりした証拠は見つからなかったとしている。
ただし、リスク軽減のため、CIROは影響を受けたすべての投資家に対し、2年間のクレジットモニタリングおよび個人情報盗難保護サービスを無料で提供する。
影響が確認された人には、サービスへの登録方法に関する案内が直接送付される。通知を受け取っていない人でも、影響の有無を確認するためにCIROへ直接連絡できる。
CIROのデータ侵害は、昨年カナダで発生した最悪級のサイバーセキュリティインシデントの一つであり、Nova Scotia Power、下院、WestJet、Toys “R” Us、およびFreedom Mobileでの同様のインシデントと並ぶものだった。
