カナダ投資規制機関CIRO、大規模情報流出の全貌を公表
カナダの投資規制機関であるCIRO(Canadian Investment Regulatory Organization)は、昨年発生したデータ侵害について、約75万人のカナダ人投資家の情報が流出したことを正式に確認しました。
同組織は昨年8月18日にこのインシデントを開示しましたが、広範なフォレンジック調査を今年1月14日に完了し、今回の発表に至りました。CIROは2023年に設立され、投資ディーラー、ミューチュアルファンドディーラー、および取引活動を管轄するカナダの主要な自主規制機関です。
侵害の詳細と流出した個人情報
CIROは昨年8月11日にサイバーセキュリティの脅威を特定し、直ちに非重要システムのシャットダウンと調査を開始しました。予備調査の結果、加盟企業および登録従業員の個人情報の一部が持ち出されたことが判明しています。
今回の発表によると、流出した可能性のある個人情報には以下の項目が含まれる可能性があります(個人によって内容は異なります)。
- 生年月日
- 電話番号
- 年間収入
- 社会保険番号
- 政府発行のID番号
- 投資口座番号
- 口座取引明細書
重要な点として、ログイン認証情報や口座のセキュリティに関する質問は、CIROのシステムには保存されておらず、今回の侵害の影響を受けていないとCIROは強調しています。
CIROの対応と今後の対策
CIROはインシデントの調査に9,000時間以上を費やしましたが、盗まれたデータが悪用されたり、ダークウェブ上で公開されたりした証拠はこれまでのところ見つかっていません。
しかし、リスク軽減のため、CIROは影響を受けたすべての投資家に対し、2年間無料の信用監視およびID盗難保護サービスを提供すると発表しました。影響が確認された個人には、サービスへの登録方法に関する直接的な連絡が届く予定です。通知を受け取らなかった場合でも、影響の有無を確認するためにCIROに直接問い合わせることができます。
カナダにおける大規模サイバー攻撃の一例
今回のCIROのデータ侵害は、昨年カナダで発生したサイバーセキュリティインシデントの中でも最大級のものでした。同様の事態は、Nova Scotia Power、下院、WestJet、Toys “R” Us、Freedom Mobileなど、他の主要組織でも確認されています。