ハッカーは、エバーテックのブラジル子会社Sinqia S.A.の環境に不正アクセスし、中央銀行のリアルタイム決済システム(Pix)を通じて1億3,000万ドルを盗もうとしました。
エバーテックは、ラテンアメリカ、プエルトリコ、カリブ海地域で主要なフルサービスのトランザクションプロセッサーとして知られる上場金融テクノロジー大手です。
Sinqiaは2023年にエバーテックに買収された、サンパウロを拠点とする上場企業で、銀行・金融業界向けの金融ソフトウェアおよびITサービスを提供しています。
エバーテックは米国証券取引委員会(SEC)への提出書類で、2025年8月29日にハッカーがSinqiaのシステムに侵入し、不正な取引を試みたことを明らかにしました。
「2025年8月29日、EVERTEC, Inc.のブラジル子会社であるSinqia S.A.は、ブラジル中央銀行のリアルタイム決済システムPixの環境で不正な活動を確認しました」とSEC提出書類に記載されています。
「インシデントを検知した後、Sinqiaはインシデント対応プロトコルに従い、Pix環境での取引処理を停止し、外部のサイバーセキュリティフォレンジック専門家と協力を開始しました。」
Pixはブラジル中央銀行が2020年11月に開始した即時決済システムで、24時間365日即時送金が可能です。
現在、Pixはブラジルで最も広く利用されている決済手段となっており、Androidバンキングマルウェアの標的になることも多いです。
ハッカーは、Sinqiaの顧客である2つの金融機関間で不正な法人間取引を実行しようとしました。
地元メディアはHSBC銀行が関与していると報じましたが、同行の広報担当者はこの事件が顧客の資金やデータに影響を与えていないことを強調しました。
エバーテックによると、1億3,000万ドルの一部はすでに回収されており、具体的な金額は明らかにされていませんが、回収作業は継続中です。
調査の結果、ハッカーはITベンダーのアカウントの盗まれた認証情報を使ってSinqiaのPix環境にアクセスしたことが判明しました。
エバーテックは、影響がSinqiaのPix環境以外に及んでいる兆候はなく、個人データが漏洩した証拠もないとしています。
現在、SinqiaのPixへのアクセスはブラジル中央銀行によって停止されていますが、同社は必要な情報と保証を当局に提供し、早期復旧に向けて取り組んでいます。
財務的な影響について、エバーテックはSinqiaのPix環境がブラジル国内24の金融機関の業務を支えていると述べています。
「本インシデントによる財務的・評判的影響、および社内統制への影響はまだ判明しておらず、重大なものとなる可能性があります」と同社は述べています。
