信用格付け大手のトランスユニオンがデータ侵害を受け、約450万人のアメリカ人の個人情報が影響を受けました。
同社は、影響を受けた顧客への通知書の中で、米国の消費者サポート業務に利用されているサードパーティのアプリケーションに不正アクセスがあったことを明らかにしました。
漏洩した情報は特定のデータ要素に限定されており、信用情報や主要なクレジット情報は含まれていませんでした。
トランスユニオンは、漏洩したデータの詳細については公表していません。
「今回の事態によりご心配をおかけしたことをお詫び申し上げるとともに、消費者情報の保護に対する責任を真剣に受け止めています」と、同信用機関は記しています。
通知を受けた顧客には、無料のクレジットモニタリングおよび積極的な詐欺対策サービスが提供されています。
「トランスユニオンは個人情報の保護を重要視しており、そのため強固かつ積極的なセキュリティ対策を実施しています。今後も同様の事態を防ぐため、必要に応じてセキュリティ管理を強化し続けます」と同社は付け加えました。
メイン州司法長官事務所への報告によると、侵害は7月28日に発生し、2日後の7月30日に検知されました。
トランスユニオンは近年、他のデータ侵害事件にも見舞われています。2022年には、攻撃者が隔離された南アフリカのサーバーに侵入し、約500万人の顧客に関する個人データを盗んだことを認めました。
2023年9月には、「USDoD」として知られる脅威アクターが、58,505人分のトランスユニオン顧客の個人識別情報(PII)が含まれているとされる3GBのデータベースを公開しました。
その後、同機関は自社システムからデータが流出していないと報告しており、サプライチェーンの侵害であった可能性を示唆しています。
サードパーティによるデータ侵害が拡大
今回のトランスユニオンの事件は、ここ数か月でサードパーティの侵害によって発生した他の著名なデータ侵害に続くものです。
調達サービスプロバイダーChain IQへの攻撃により、2025年6月に銀行大手UBSのデータが侵害されました。
7月には、保険会社アリアンツ・ライフが、脅威アクターがサードパーティのクラウド型CRMにアクセスしたことで、米国の顧客140万人の大半の個人データが盗まれたことを明らかにしました。
オーストラリアの航空会社カンタス航空も、7月にサードパーティの顧客サービスプラットフォームへのハッキングにより、約600万人の顧客が影響を受けたデータ侵害を公表しました。
2つのサイバー犯罪グループ、Scattered SpiderとShunyHuntersは、この種の攻撃に関与しているとされ、ソーシャルエンジニアリング技術を用いてサードパーティのITやクラウドプロバイダーを標的にしています。
これらのグループは、数千人の英語話者が関与する緩やかに組織されたオンライン犯罪ネットワーク「The Com」に所属しています。
画像クレジット:JHVEPhoto / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/transunion-data-breach-us-customers/