カナダ投資規制機構(CIRO)は、2025年8月に最初に検知された高度なフィッシング攻撃に起因し、約75万人のカナダ人投資家に影響する重大なデータ侵害を公式に確認しました。
同機構は、9,000時間を超える包括的なフォレンジック調査を経て、2026年1月14日にこの事案を公表しました。
CIROは、標的型フィッシングキャンペーンを通じて得られた 不正アクセス が侵害の原因であると特定しました。発覚後、同機構は直ちに事案を封じ込めました。
同機構は、露出範囲を 特定 するために、主要な第三者フォレンジック調査会社を起用しました。関係する 管轄区域 の法執行機関およびプライバシーコミッショナーには速やかに通知され、カナダの主要な規制当局における侵害事案に典型的な、連携した対応枠組みが 確立 されました。
調査の結果、会員企業および登録個人に関する登録情報が侵害されたことが判明しました。
CIROはその後、影響を受けた会員および登録者に予備的な調査結果を通知するとともに、eディスカバリー手続きの完了後に包括的な結果を共有することを約束しました。この約束は、広範なフォレンジック調査の後に果たされました。
この 侵害により漏えいした 個人情報には、生年月日、電話番号、年収、社会保険番号、政府発行の身分証明書番号、投資口座番号、口座明細が含まれます。
CIROは、同機構のシステムにはそのような情報を 保持 していないため、口座ログイン認証情報、パスワード、秘密の質問、個人識別番号は侵害されていないと強調しました。
この点は、アカウントへの不正 アクセスの攻撃ベクトルを限定するため、 サイバーセキュリティの観点から重要です。
しかし、社会保険番号や政府発行の身分証明情報の漏えいは、影響を受けた個人にとって、なりすまし被害のリスクを一層高めます。
CIROは、 ダークウェブ 上で情報が悪用または利用された証拠はないと報告しています。同機構は悪意ある活動の監視を継続しています。
同機構は、侵害に関連する脅威アクターの議論やデータ販売を 確認 していません。それでも、漏えいした個人を特定できる情報(PII)および 金融データ の機微性を踏まえると、継続的な警戒が必要です。
予防措置として、CIROは主要なカナダの信用情報機関を通じて、影響を受けた投資家に2年間の無料クレジットモニタリングおよびなりすまし保護サービスを提供しています。
同機構は、 影響を受けた 個人に対し、利用開始手順を直接案内しています。
アンドリュー・クリーグラー社長兼CEOは、同機構は「個人的に影響を受けた方々に対して正しい対応を行うことに注力している」と述べ、サイバーセキュリティ 防御 の強化と、投資業界全体におけるデータセキュリティ慣行の強化に対するCIROのコミットメントを強調しました。
この事案は、金融セクターの組織を標的とするフィッシングキャンペーンがもたらす持続的な脅威を浮き彫りにしています。
CIROの 経験は、機微な投資家データを扱う規制対象の組織であっても、ソーシャルエンジニアリング攻撃に対して 依然として 脆弱であることを示しています。
この侵害を受け、カナダの投資業界では、セキュリティ基準の強化と、侵害対応における情報共有プロトコルの改善について議論が促されています。
CIROは、サイバーセキュリティ基盤をさらに強化し、同様の攻撃に対する防護策を高めるための業界全体の取り組みを支援することを約束しました。
翻訳元: https://gbhackers.com/ciro-confirms-data-breach-impacting-750000-canadian-investors/
