ベターメントLLCは米国証券取引委員会(SEC)に登録された投資顧問会社である。同社は2026年1月に発生したインシデントを開示した。攻撃者はソーシャルエンジニアリングを用いて顧客コミュニケーション用サードパーティプラットフォームにアクセスし、これを悪用して暗号通貨をテーマとしたフィッシングメッセージを送信。100万人以上の連絡先および身元情報を不正取得した。
特に懸念されるのは、漏洩した情報の深さである。単なるメールアドレスのリストではない。流出ファイルには退職金計画の詳細、財務上の利害関係、内部会議のメモ、パイプラインデータが含まれている。これはサイバー犯罪者に個人の財務状況や職業生活に関する具体的な背景情報を提供する情報だ。
さらに悪いことに、ランサムウェア集団Shiny Huntersは、Bettermentが要求された身代金の支払いを拒否したため、盗んだデータを公開すると主張している。
ベターメントはオンライン上の発表で影響を受けた顧客数を明らかにしていないが、一般的な見解では140万人の顧客データが関与していたとされる。そして今、あらゆるサイバー犯罪者が自由にこの情報をダウンロードできる状態にある。
データを分析したところ、181,487人分の詳細な情報が記載された特に懸念されるCSVファイルを発見しました。このファイルには以下のような情報が含まれていました:
- フルネーム(名と姓)
- 個人用メールアドレス(例:Gmail)
- 業務用メールアドレス
- 会社名および雇用主情報
- 役職と職務内容
- 電話番号(携帯番号と職場番号の両方)
- 住所と会社のウェブサイト
- プラン詳細—企業年金/401kプラン、資産、参加者
- 調査回答、取引および顧客パイプラインの詳細、会議メモ
- 金融ニーズ/関心(例:住宅購入のための証券担保信用枠の申請)
個人データが漏洩していないか確認してください。
この種のデータはフィッシング詐欺師にとって宝の山であり、標的型攻撃に利用できます。個々に合わせた説得力のあるフィッシングメールを作成するのに十分な文脈が含まれています。例えば:
- 相手の氏名、所属会社、役職名で呼ぶ
- 会社の退職制度または財務計画を参照する
- ベターメントのアドバイザーまたはプラン管理者になりすます
- 金融アドバイスを装った詐欺電話を開始する
他の侵害事例のデータと組み合わせれば、事態はさらに悪化し、個人情報の盗難につながる可能性すらある。
データが漏洩した場合の対処法
データ侵害の影響を受けたと考える場合、自身を守るために以下の手順を実行してください:
- 会社の指示を確認してください。各侵害事案は異なるため、会社に連絡して発生した内容を確認し、提供される具体的な指示に従ってください。
- パスワードを変更する。盗まれたパスワードは、変更することで窃盗犯に使えなくすることができます。他のことには使わない強力なパスワードを選びましょう。さらに良い方法は、パスワード・マネージャーにパスワードを選んでもらうことです。
- 二要素認証(2FA)を有効にしてください。可能であれば、第二要素としてFIDO2準拠のハードウェアキー、ノートパソコン、またはスマートフォンを使用してください。一部の2FA方式はパスワードと同様にフィッシング攻撃の標的となり得ますが、FIDO2デバイスに依存する2FAはフィッシング攻撃の対象になりません。
- なりすましに注意してください。詐欺師が侵害されたプラットフォームを装って連絡してくる可能性があります。被害者への連絡の有無は公式サイトで確認し、別の連絡手段で接触してきた人物の身元を必ず確認してください。
- 時間をかけましょう。フィッシング攻撃は、あなたが知っている人物やブランドになりすますことが多く、未配達、アカウントの停止、セキュリティ警告など、緊急の注意が必要なテーマが使われています。
- カード情報を保存しないことを検討してください。サイトにカード情報を記憶させる方が確かに便利ですが、小売業者が情報漏洩被害に遭った場合、リスクが高まります。
- 個人情報の不正取引をオンラインで検知した場合に通知し、事後の復旧を支援するアイデンティティ監視を設定してください。
Malwarebytes無料デジタルフットプリントスキャンを利用して、個人情報がオンライン上で漏洩していないか確認してください。
脅威を報告するだけでなく、お客様のデジタルアイデンティティ全体を保護します
サイバーセキュリティリスクは見出し以上の広がりを決して許さない。本人確認保護サービスを活用し、あなたとご家族の個人情報を守りましょう。
