Morgan Stanley の顧客にソーシャル・エンジニアリング攻撃:顧客の一部に被害

Morgan Stanley client accounts breached in social engineering attacks

2022/03/24 BleepingComputer — Morgan Stanley の資産運用部門である Morgan Stanley Wealth Management は、顧客の一部がソーシャル・エンジニアリング攻撃に遭い、その口座が侵害されたと発表した。Vishing (Voice Phishing) とは、音声通話中に詐欺師が、信頼できる団体 (この場合は Morgan Stanley) になりすまし、ターゲットに銀行口座やログイン情報といった機密情報を、開示させるソーシャル・エンジニアリング攻撃である。

同社は、2022年2月11日前後に、Morgan Stanley になりすました脅威アクターが、Morgan Stanley Online の口座情報を提供するように騙して、その顧客の口座にアクセスしたと、被害者たちに送付した通知で述べている。また、この攻撃者は、口座への侵入に成功した後に、Zelle 決済サービスを利用して支払いを開始し、自身の銀行口座に電子的に送金していた。

Morgan Stanley の広報担当者は BleepingComputer に対して、「Morgan Stanley からのデータ漏洩や情報漏えいはなかった」と述べている。

Morgan Stanley のシステムは安全な状態

Morgan Stanley の担当部門は、これらの攻撃の影響を受けた、すべての顧客のアカウントを無効にした後に、同社のシステムは安全な状態であると付け加えた。

同社は、「この侵害は Morgan Stanley Wealth Management の、いかなる行為の結果でもなく、我々のシステムは安全な状態にある。あなたの Morgan Stanley Wealth Management のアカウントは、当社のカスタマー・コールセンターがフラグを立てたことで、そのコールセンターに電話をかけてきた人物に対して、追加の確認が行われるようになっている。あなたが使用していた、以前の Morgan Stanley Online のアカウントも無効にされている」と述べている。

Morgan Stanley は、Vishing 攻撃などのソーシャル・エンジニアリング詐欺から身を守るための推奨事項を提供し、見覚えのない番号からの電話には出ないよう、顧客に助言している。

同社は、「電話で個人情報を提供する際には、十分な注意が必要である。情報を求めているのが正規の組織であり、本人であることを確認してほしい。当社の公式 Web サイトや財務諸表など、信頼できる情報源から見つけた電話番号を使って、いつでも電話をかけ直すことができる」と述べている。

2021年7月に Morgan Stanley は、同社のサードパーティーであるガイドハウス Accellion の FTA サーバーに、ランサムウェア Clop が侵入し、顧客の個人情報を盗み出したデータ侵害を公表している。Morgan Stanley は、投資銀行/証券/投資管理などの富裕層向けサービスを世界中に提供する、米国の大手投資銀行/グローバル金融サービス企業である。その顧客リストには、世界 41カ国以上の企業/政府/機関/個人などが含まれている。

この記事は、Morgan Stanley になりすました犯罪者と、騙された顧客ともんですが、Morgan Stanley 自身の責任の所在を整理するものです。そして、なぜ騙されるのかという疑問ですが、2021年7月の「フィッシングに遭った夫婦が犯人を追跡:莫大な仮想通貨の在処を見つけたが」を読むと、なんとなく理由も分かってきます。まずは、自分で自分を守るというところから、始めなくてはなりません。

%d bloggers like this: