消費者信用情報機関大手のTransUnionは、米国の440万人以上の個人情報が流出するデータ侵害が発生したと警告しています。
TransUnionは、EquifaxおよびExperianと並ぶ米国の三大信用情報機関の一つです。30か国で事業を展開し、13,000人の従業員を擁し、年間売上高は30億ドルにのぼります。
同社は世界中で10億人以上の消費者の信用情報を収集・管理しており、そのうち約2億人が米国に拠点を置いています。この情報は、貸し手、保険会社、雇用主など65,000社と共有されています。
メイン州司法長官事務所への提出書類によると、この侵害は2025年7月28日に発生し、2日後に発見されました。
今週初めに影響を受けた顧客に配布された通知のサンプルでは、このインシデントが同社の消費者サポート業務を支えるサードパーティアプリケーションに関係していることが明記されています。
「当社の米国消費者サポート業務を支えるサードパーティアプリケーションに関連するサイバーインシデントが最近発生しました」とデータ侵害通知には記載されています。
「不正アクセスには、あなたに関する一部の限定的な個人情報が含まれています。」
同社によれば、今回流出したデータは「限定的」だとされていますが、具体的にどのような情報かは通知サンプルでは明らかにされていません。
その代わりに、今回のインシデントで信用報告書や主要な信用情報は流出していないことが書簡で強調されています。
TransUnionは現在、影響を受けた方々に対して24か月間の無料クレジットモニタリングおよび個人情報盗難防止サービスを提供しています。
今年は、Salesforceデータ窃盗攻撃の波が多数の企業に影響を与えており、Google、Farmers Insurance、Allianz Life、Workday、Pandora、Cisco、Chanel、Qantasなどが被害を受けています。
これらの攻撃は、Shiny Hunters脅迫グループおよび、最近ではUNC6395と追跡されているグループによって実行されています。
BleepingComputerは、この侵害がSalesforceに関連しているかどうかについてTransUnionに問い合わせており、回答があれば本記事を更新します。
2年前、ある脅威アクターがTransUnionでのデータ侵害を主張しましたが、同社はこれを否定し、データは第三者から盗まれたものであると述べていました。
過去には、同社の南アフリカおよびカナダの支社でも、顧客情報が流出するサイバーセキュリティ侵害が発生しています。
