HSBCは、オンラインバンキングの顧客数千人の個人情報を悪意ある者が盗み出した可能性があると認めた。
同銀行は先週末、カリフォルニア州司法長官事務所に書類[PDF]を提出し、大規模なデータ盗難について住民に通知する計画を説明した。カリフォルニア州法では、州内の住民500人以上に影響を及ぼすコンピューターセキュリティ侵害が発生した場合、司法長官に通知することが義務付けられている。
HSBCは、ハッカーが盗み出したオンラインバンキング口座の正確な数は明らかにしなかったが、報道によると推定120万人の米国顧客のうち、今回のハッキングの影響を受けるのは「1%未満」だと述べている。つまり、最大1万2000人の米国人の個人情報や口座情報が悪質な犯罪者の手に渡った可能性があるということだ。ただし、Equifaxの件で見られたように、この数字は大幅に増加する可能性がある。
アカウントは今年10月4日から14日の間に荒らされた可能性が高いと伝えられている。
「当社は顧客に、定期的にパスワードを変更し、ソーシャルメディアのアカウントを含む他の場所で使用していない固有のパスワードを使用することで、銀行口座へのアクセスを保護するよう注意喚起しています」とHSBCの広報担当者はThe Registerに語った。
これは、いわゆる「クレデンシャル・スタッフィング」と呼ばれる手法でアカウントにアクセスされたことを示唆しています。これは、ユーザーが複数のサイトで同じユーザー名とパスワードを使い回しているという事実を悪用するものです。ハッカーは、被害者のログイン情報をあるウェブサイトから入手し、それを使って同じ認証情報を使い回しているHSBCのオンラインバンキングアカウントにログインした可能性があります。
オンラインアカウントから盗み出されたと思われるデータは機密性が非常に高いと思われ、サイバー犯罪者や個人情報窃盗犯が利用すれば、HSBCとその顧客に極めて大きな損害を与える可能性がある。
HSBC ビジネス バンキング 暗号通貨: 消えた緑の南京錠の事件、そして… 私たちは一体どの分野にいるのでしょうか?
続きを読む
HSBCは、ハッカーらは顧客の氏名、郵送先住所、電話番号、メールアドレス、生年月日、口座番号、口座の種類、口座残高、取引履歴、受取口座情報、明細書履歴を盗み出すことができたはずだと述べている。
言い換えれば、フィッシングの金脈とは、綿密に作成された電子メールで標的を騙すために必要なあらゆるもの、そして他人の個人情報を盗むために必要なほぼすべてのもの(社会保障番号を除く)のことです。
「HSBCは、2018年10月4日から10月14日の間に、オンラインアカウントが不正ユーザーによってアクセスされていることを認識した」と、同行はサイバー攻撃中に個人情報が盗まれた可能性のある人々に伝える予定だ。
「HSBCはお客様のオンラインアカウントが影響を受けていることを発見したため、お客様のアカウントへのさらなる不正アクセスを防ぐため、オンラインアクセスを停止しました。」
HSBCは「万全を期すため」、影響を受けた利用者に対し、1年間の無償の信用情報監視と個人情報保護を提供すると発表しました。さらに、「HSBCパーソナルインターネットバンキングの認証プロセスを強化し、セキュリティをさらに強化しました」と付け加えました。
HSBC から手紙を受け取ったら、できるだけ早くその申し出を受け入れ、信用凍結を依頼し、今後は銀行の明細書を注意深く監視する必要があることに気づくのに、特別な注意は必要ありません。®
