スペイン大手電力会社エンデサ、顧客データ侵害を公表
スペインのエネルギー大手エンデサとその子会社であるエネルギア XXIは、同社のシステムへの不正アクセスにより、顧客の契約関連情報が流出したことを顧客に通知しています。
エンデサはスペイン最大の電力会社であり、現在Enel Groupが所有し、スペインとポルトガルで1,000万人以上の顧客にガスと電力を供給しています。同社は合計で約2,200万人の顧客を抱えています。
同社は、商業プラットフォームへの不正アクセスを検知したと発表し、セキュリティインシデントを公表しました。「この会社が実施しているセキュリティ対策にもかかわらず、お客様のエネルギー契約に関連する特定の個人データへの不正かつ違法なアクセスを示す証拠を検出しました」とエンデサは述べています。
侵害の詳細と企業の対応
これまでの調査によると、ハッカーは以下の種類のデータにアクセスした可能性があります。
- 基本的な識別情報
- 連絡先情報
- 国民ID番号(DNI)
- 契約の詳細
- IBANを含む支払い詳細
エネルギア XXIとエンデサの両社は、このセキュリティインシデントでアカウントのパスワードは流出していないことを明言しています。
この状況に対応して、同社は不正にアクセスされた内部アカウントへのアクセスをブロックし、分析のためにログ記録を収集しました。現在、全顧客への通知を進めており、さらなる疑わしい活動を検出するために監視体制を強化しています。調査はまだ進行中ですが、同社はスペインデータ保護機関および国内の関連当局に通知済みです。
エンデサは「この通知の時点では、インシデントによって影響を受けたデータの不正利用の証拠はなく、お客様の権利と自由に対する高いリスクの影響が具体化する可能性は低いと考えています」と述べています。
流出情報の闇市場での販売疑惑
一方、先週、脅威アクターがエンデサから盗んだとされるデータのサンプルを公開し、販売を主張しています。そのデータは、2,000万件の記録に上るとされ、単独の独占購入者に提供されています。ハッカーは、エンデサの顧客情報を含む約1TBのSQLデータベースを持っていると主張しており、販売者によって提供された詳細に基づくと、このデータはエンデサがシステム内で不正アクセスされたと述べている内容と一致しているようです。
顧客への影響と推奨される対策
エンデサは、現時点では高いリスクはないとしているものの、IDのなりすまし、データ盗難、フィッシング攻撃に対する警戒を顧客に促しており、通知に含まれる番号で疑わしい活動を報告するよう求めています。
エネルギア XXIは、今回の事件が同社の運用やサービスには影響を与えていないため、顧客は引き続き同じレベルのサービスをリスクなく利用できると述べています。同社は、進行中の調査で追加の詳細が明らかになった場合、数日中に影響を受けた顧客に直接通知することを約束しました。