Bettermentデータ流出はより深刻である可能性がある

Betterment LLCは米国証券取引委員会（SEC）に登録された投資顧問会社です。同社は開示したところによると、2026年1月のインシデントで攻撃者がソーシャルエンジニアリングを使用して顧客コミュニケーション用のサードパーティプラットフォームにアクセスし、その後それを悪用して暗号通貨をテーマにしたフィッシングメッセージを送信し、100万人以上の人々の連絡先と身元データを流出させました。

これが特に懸念される理由は、流出した情報の深さです。これは単なるメールアドレスのリストではありません。流出したファイルには、退職プラン詳細、財務関心事項、内部会議ノート、パイプラインデータが含まれています。これは個人の財務と職業生活に関する現実的な文脈を与える情報です。

さらに悪いことに、ランサムウェアグループのShiny Huntersは、Bettermentが要求された身代金の支払いを拒否したため、盗んだデータを公開していると主張しています。

Bettermentはオンラインコミュニケーションで影響を受けた顧客の数を明かしていませんが、一般的なコンセンサスは140万人の顧客のデータが関係していたことを示しています。そして今、すべてのサイバー犯罪者がこの情報を自由にダウンロードできます。

私たちはデータの一部を分析し、181,487人の詳細データを含む特に懸念される1つのCSVファイルを発見しました。このファイルには以下のような情報が含まれていました：

• フルネーム（名字と名前）
• 個人用メールアドレス（Gmail など）
• 仕事用メールアドレス
• 会社名と雇用主情報
• 職務内容と役職
• 電話番号（携帯電話と仕事用番号の両方）
• 住所と会社ウェブサイト
• プラン詳細—会社の退職/401kプラン、資産、参加者
• アンケート回答、取引とクライアントパイプラインの詳細、会議ノート
• 財務ニーズ/関心事項（例：住宅購入のための有価証券担保ラインのクレジットをリクエスト）

この種のデータはフィッシャーにとって金鉱です。ターゲット攻撃で使用できます。説得力のある個別にカスタマイズされたフィッシングメールを作成するのに十分な文脈があります。例えば：

• 実名、会社、職務内容で相手を呼ぶ
• 会社の退職プランや財務プランを参照する
• Bettermentアドバイザーまたはプラン管理者になりすまして
• 財務アドバイスに関する詐欺電話を開始する

他の流出からのデータと組み合わせると、さらに悪い場合があり、身元盗用につながる可能性があります。

データが流出した場合のセキュリティ対策

データ流出の影響を受けたと思われる場合は、以下の手順を実行して自分を守ることができます：

• 会社のアドバイスを確認してください。 すべての流出は異なるため、何が起きたかを確認するために会社に連絡し、提供する特定のアドバイスに従ってください。
• パスワードを変更してください。 盗まれたパスワードを変更することで、泥棒には無用の長物にすることができます。他のもので使用しない強力なパスワードを選択してください。さらに良いことに、パスワードマネージャーに選択させてください。
• 2要素認証（2FA）を有効にしてください。 可能であれば、FIDO2準拠のハードウェアキー、ラップトップ、または携帯電話を2番目の要因として使用してください。2FAの一部の形式はパスワードと同じくらい簡単にフィッシングされる可能性がありますが、FIDO2デバイスに依存する2FAはフィッシングされません。
• 詐欺者に注意してください。 泥棒は流出したプラットフォームになりすまして連絡してきた可能性があります。公式ウェブサイトをチェックして、被害者に連絡しているかどうかを確認し、別の通信チャネルを使用して連絡してきた人の身元を確認してください。
• 時間をかけてください。 フィッシング攻撃はあなたが知っている人やブランドになりすまし、配送遅延、アカウント停止、セキュリティアラートなど緊急の注意が必要なテーマを使用します。
• カード情報の保存を検討しないでください。サイトにカード情報を覚えさせるのは確かに便利ですが、小売業者が流出した場合のリスクが増加します。
• 身元監視を設定してください。これは、あなたの個人情報がオンラインで違法に取引されているのが見つかった場合にアラートを出し、その後の回復を支援します。

Malwarebytesの無料デジタルフットプリントスキャンを使用して、個人情報がオンラインで流出しているかどうかを確認してください。