Prudential Financial now says 2.5 million impacted by data breach
2024/07/01 BleepingComputer — 世界的な金融サービス企業である Prudential Financial は、2024年2月に発生したデータ侵害の影響により、250万人以上の個人情報が漏洩したことを明らかにした。Prudential が米国証券取引委員会 (SEC) に提出した Form 8-K によると、サイバー犯罪グループと思われる攻撃者が同社のシステムに侵入し、管理者およびユーザーのデータや、従業員および契約者のアカウントにアクセスしたという。そして、侵害の翌日である 2月5日に、この事件を検知したという。
Fortune 500 に名を連ねる Prudential は、2024年3月にメイン州検事局に提出した報告書の中で、個人情報 (氏名/運転免許証番号/運転免許証以外の身分証明書番号を含む) を盗まれた 36,000人以上に対して、すでに通知を行っていることを明らかにした。
同社は、「2024年2月4日の時点で、権限のない第三者が当社のネットワークにアクセスし、当社のシステムからごく一部の個人情報を削除したことが、調査を通じて判明した。対応の一環として、サイバーセキュリティの第一人者に協力を仰いだことで、無許可の第三者による活動は抑制され、これ以上は当社のシステムにアクセスできないことが確認された」と述べている。
その一方で、先週に同社は、2024年2月のデータ流出に関して、メイン州司法長官事務所と共有している情報を更新した。新たに追加された情報によると、今回のインシデントの影響は 2,556,210 人に及んでいるという。
BleepingComputer は Prudential Financial に対して、この攻撃に関する詳細を求めたが、回答はまだ得られていない。
ALPHV が Prudential への侵害を主張
2024年2月のデータ漏洩の原因について、依然として Prudential は追加情報を公開していない。しかし、その一方で、ALPHV/Blackcat ランサムウェア・ギャングが、この侵害に対する犯行声明を 2月13日に公開している。
ALPHV は、Change Healthcare の情報漏えいに関与したと見られている、脅威アクターの Notchy から $22 million の身代金を騙し取った後に、その業務を停止させ、撤退詐欺を行ったとされている。
FBI によると、ALPHV グループは、活動開始から4ヶ月の間に、世界中で 60件以上の侵害を行っており、2023年9月の時点で 1,000以上の被害者から、少なくとも $300M の身代金を集めたという。
米国で二番手の生命保険会社である Prudential は、世界中で40,000人の従業員を抱え、2023年には $50B 以上の収益が報告されている。
Prudential の顧客情報の流出は、2023年5月にも発生している。サイバー犯罪グループの Clop が、Pension Benefit Information (PBI) Research Services のファイル共有プラットフォーム MOVEit Transfer へのハッキングを行い、同社の 320,000 人の顧客の個人情報 (氏名/住所/生年月日/電話番号/社会保障番号など) を流出させている。
Prudential から 2024年2月に提出された報告書については、2024/02/15 の「Prudential Financial で発生したセキュリティ侵害:SEC に報告書が提出された」を、ご参照ください。金融分野ということで、もしかしたら Snowflake 関連かと思いましたが、ちょっと時期が異なるようにも思えます。よろしければ、カテゴリ Finance も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.