カナダ投資規制機構(CIRO)は、2025年8月に最初に公表された高度な フィッシング攻撃 により、約75万人のカナダ人投資家が影響を受けたことを確認しました。
この確認は、9か月にわたるフォレンジック調査と、第三者のサイバーセキュリティ専門家およびフォレンジック調査員による9,000時間超の精査を経て行われました。
侵害により、生年月日、電話番号、年収、社会保険番号、政府発行の身分証番号、投資口座番号、口座明細など、機微な個人情報および金融情報が漏えいしました。
CIROは、同機構のシステムではそのような情報を収集・保管していないため、パスワード、秘密の質問、個人識別番号(PIN)などの認証情報は侵害されていないと強調しました。
CIROは、インシデントを迅速に封じ込め、システムを保護するための即時のセキュリティ対策を実施したと述べました。
同機構は、侵害を発見した時点で、法執行機関、プライバシー監督機関、および関連するすべての規制当局に通知しました。
侵害されたデータの範囲と性質を特定するため、主要な第三者フォレンジックIT調査会社が起用されました。
予備調査により、会員企業および登録個人に関する登録情報が侵害されたことが判明しました。
CIROはこれらの調査結果を公表するとともに、影響を受けた会員および登録者に直接通知し、eディスカバリー手続きが完了次第、最終結果を共有することを約束しました。
現時点では、漏えいした情報が悪用された証拠はありません。CIROは悪意ある活動の監視を継続しており、ダークウェブ上での脅威の兆候やデータ露出は確認されていません。
予防措置として、同機構は主要な信用情報機関を通じて、影響を受けたカナダ人投資家に2年間の無料クレジットモニタリングおよび本人確認情報の盗難保護サービスを提供しています。
影響を受けた方には、保護サービスを有効化するための詳細な手順がCIROから直接送付されます。同機構は2026年1月14日に通知連絡を開始しました。
サイバーセキュリティインシデントの影響を受けたのは、CIROのディーラー会員の一部の顧客および元顧客のみでした。
通知書を受け取っていないものの影響の有無を確認したい方は、CIROのウェブサイトのサイバーインシデント欄にある問い合わせフォームを使用して書面で照会し、確認を依頼できます。
CIROの社長兼最高経営責任者であるアンドリュー・クリーグラー氏は次のように述べました。「私たちは、個人的に影響を受けた方々に対して正しい対応を行うことに全力を尽くしています。
プライバシーとセキュリティは私たちにとって極めて重要であり、透明性と説明責任という当機構の指針となる価値観も同様に重要です。」
CIROは、サイバーセキュリティ防御の強化と、投資業界全体のセキュリティ取り組みの支援に引き続き取り組んでいきます。本件インシデントに関する追加情報は、CIROの公式ウェブサイトで確認できます。
翻訳元: https://cyberpress.org/ciro-confirms-data-breach/