米国証券取引委員会(SEC)は複数の証券会社に対し、ハッカーがそれら企業の従業員の電子メールアカウントを乗っ取った後、数千人の顧客や取引先の個人を特定できる機密情報を漏洩させたとして、合計75万ドル(約8230万円)の制裁金を科した。
SECから制裁を受けたのは、3社に属する計8事業体。Cetera Financial Group(Advisor Networks、Investment Services、Financial Specialists、Advisors、Investment Advisers部門)、Cambridge Investment Research(Investment Research、Investment Research Advisors部門)、そしてKMS Financial Servicesがこれに含まれる。
SECはプレスリリースの中で、サイバーセキュリティポリシーおよび対策の不備により、クラウドベースの電子メールアカウントへのハッカーによる不正アクセスを許し、各企業の数千人の顧客および取引先の個人情報を流出させたとして、これらの企業に制裁を科したことを発表した。
SECによるとCetera(セテラ)の場合、60人以上の従業員のクラウドベースの電子メールアカウントが3年以上にわたり不正な第三者によってアクセスされ、少なくとも4388人の顧客の個人情報が流出したという。
この命令では、そのうちどのアカウントもCeteraのポリシーで定められた保護対策を備えていなかったとしている。またSECは、Ceteraの2つの事業体が「事件発覚後、実際よりもはるかに早く通知が出されたかのような誤解を招く表現」を含む情報漏洩通知を顧客に送付したとして、Ceteraを非難した。
SECのCambridge(ケンブリッジ)に対する命令では、少なくとも2177人の同社の顧客や取引先の個人情報が流出したのは、同社のサイバーセキュリティ対策が甘かった結果であると結論づけている。
「Cambridgeは2018年1月に最初のメールアカウント乗っ取りを発見したものの、2021年まで販売担当者たちのクラウドベースメールアカウントに対する会社全体の強化されたセキュリティ対策を採用して実装することができず、その結果、さらなる顧客やクライアントの記録や情報が露出され、潜在的に漏洩されることになった」とSECは述べている。
KMSに対する命令も同様で、SECの命令によると、同社が会社全体でセキュリティ対策強化を要求する書面による方針・対策を2020年5月まで採用しなかった結果、約5000人の顧客とクライアントのデータが流出したとしている。
SEC執行部サイバーユニットのチーフであるKristina Littman(クリスティーナ・リトマ)氏は次のように述べた。「投資アドバイザーおよびブローカーディーラーは、顧客情報の保護に関する義務を果たさなければなりません。強化されたセキュリティ対策を要求するポリシーを書いても、その要件が実装されなかったり、部分的にしか実装されていなかったら、特に既知の攻撃に直面した場合には十分ではありません」。
すべての当事者は、制裁金の支払いに同意するとともに、SEC調査結果の認否をせずに行政命令を受け入れた。この和解の一環として、Ceteraは30万ドル(約3300万円)、Cambridgeは25万ドル(約2740万円)、KMSは20万ドル(約2200万円)の制裁金を支払う。
CambridgeはTechCrunchに対し、規制上の問題に関するコメントはしないが、顧客の口座が完全に保護されていることを保証するために、包括的な情報セキュリティグループと対策を保って維持していると述べている。CeteraとKMSからは回答を得られていない。
今回のSECによる措置は、ロンドンに本社を置く出版・教育大手のPearson(ピアソン・エデュケーション)に対し、2018年に発生した同社のデータ漏洩について投資家に誤解を与えたとして、SECが100万ドル(約1億1000万円)の制裁金支払いを命じたわずか数週間後に行われた。
画像クレジット:BRENDAN SMIALOWSKI/AFP / Getty Images
[原文へ]
(文:Carly Page、翻訳:Aya Nakazato)