事件の概要

カナダ投資規制機構（CIRO）は、約75万人のカナダ人投資家に影響が及ぶ大規模なデータ侵害を正式に確認しました。この侵害は、2025年8月に初めて検知された高度なフィッシング攻撃に端を発しています。

CIROは2026年1月14日にこの事件を公表し、9,000時間以上にわたる包括的なフォレンジック調査の結果を報告しました。

侵害の原因と対応

CIROの調査により、標的型フィッシングキャンペーンを通じて不正アクセスが行われたことが判明しました。事件発覚後、組織は直ちに侵害を封じ込め、第三者のフォレンジック調査官を雇って露出の範囲を特定しました。また、関連する法執行機関およびプライバシーコミッショナーにも迅速に通知し、大規模なカナダの規制機関における侵害対応の枠組みを確立しました。

流出した情報と安全だった情報

調査の結果、会員企業および登録個人の登録情報が侵害されたことが明らかになりました。流出した個人情報には、生年月日、電話番号、年収、社会保険番号、政府発行の身分証明書番号、投資口座番号、および口座明細書が含まれていました。

一方で、CIROは口座ログイン資格情報、パスワード、セキュリティの質問、個人識別番号（PIN）は侵害されていないことを強調しています。これは、CIROがこれらの情報をシステムに保持していないためです。この事実は、サイバーセキュリティの観点から重要であり、不正な口座アクセスに対する攻撃経路を制限します。

今後の対策と業界への影響

CIROは、現在までにダークウェブ上での情報悪用や売買の証拠は確認されていないと報告していますが、流出した個人識別情報（PII）および金融データの性質上、継続的な警戒が必要であるとしています。

予防措置として、CIROは影響を受けた投資家に対し、主要なカナダの信用機関を通じて2年間無料の信用監視および個人情報盗難保護サービスを提供しています。また、CIROの社長兼CEOであるアンドリュー・クリーグラー氏は、「個人的に影響を受けた人々に対して正しいことを行う」という組織のコミットメントを表明し、サイバーセキュリティ防御の強化と投資業界全体でのデータセキュリティ慣行の強化に努めることを強調しました。

この事件は、金融部門の組織を標的とするフィッシングキャンペーンがもたらす継続的な脅威を浮き彫りにしています。CIROの経験は、機密性の高い投資家データを管理する規制対象機関でさえ、ソーシャルエンジニアリング攻撃に対して脆弱であることを示しています。この侵害は、カナダの投資業界内で、セキュリティ基準の強化と侵害対応のための情報共有プロトコルの改善に関する議論を促しています。

元記事: https://gbhackers.com/ciro-confirms-data-breach-impacting-750000-canadian-investors/