バンク・オブ・アメリカ、データ侵害を認める、ベンダーがハッキングされる

バンク・オブ・アメリカ株式会社（BofA）、米国で2番目に大きな銀行機関は、遅延報酬プランに参加している顧客の機密個人情報が漏洩した可能性があることを顧客に警告しています。

テキサス州の司法長官に提出されたBofAによるデータ侵害の通知は、セキュリティ侵害で漏洩した顧客の個人識別情報（PII）には、顧客の名前、住所、社会保障番号、生年月日、口座およびクレジットカード番号を含む財務情報が含まれていることを明らかにしています。

どうやら、データ侵害は2023年11月3日にバンク・オブ・アメリカのベンダーであるインフォシス・マッカミッシュ・システムズLLC（「インフォシス」または「IMS」）で発生しました。

メイン州の司法長官への最近の提出書類で、IMSは57,028人の顧客のデータがこの事件で漏洩したことを明らかにしました。サイバー攻撃の際、無許可の第三者がIMSのコンピュータネットワークの一部にアクセスすることができました。

サイバーセキュリティ侵害について知ったIMSは、第三者のフォレンジック専門家の助けを借りて調査を実施しました。2023年11月24日にバンク・オブ・アメリカに対し、銀行がサービスを提供している特定の遅延報酬プランに関連するデータが影響を受けた可能性があることを通知しました。しかし、バンク・オブ・アメリカの内部ネットワークは侵害の際に侵害されることはありませんでした。

2024年2月1日、インフォシスは最近のデータセキュリティ事件の影響を受けたすべての人にデータ侵害通知書を送付し、どの情報が漏洩したかをリストアップしました。

同様に、バンク・オブ・アメリカも2024年2月6日に影響を受けた消費者にデータ侵害通知書を送付し、セキュリティ侵害について通知しました。

顧客情報の悪用について知らないと主張しているにもかかわらず、バンク・オブ・アメリカは影響を受けた顧客に対して、クレジットモニタリング、身分盗難保険、詐欺解決サービスを含むExperianの身分盗難保護プログラムの2年間の無料メンバーシップを提供しています。

これに加えて、顧客はオンラインパスワードやPINを変更し、アカウントの不審な活動を監視し、無許可の取引を直ちに報告し、クレジットレポートにセキュリティフリーズまたは詐欺警告をかけることを推奨されています。

バンク・オブ・アメリカ対ロックビット

2023年11月4日、ランサムウェアギャングのロックビットがIMS攻撃の責任を主張し、オペレーターが侵害中に2,000以上のシステムを暗号化したと主張しました。

ロックビットのランサムウェア・アズ・ア・サービス（RaaS）オペレーションは2019年9月に明らかになり、それ以来、英国のロイヤルメール、イタリアの内国歳入庁、大手コンチネンタル自動車会社、オークランド市など、数多くの著名な機関を攻撃してきました。