facebook social icon
x social icon
linkedin social icon

First American Corporationのデータ流出事件で起こったこと

First American Corporation(ファースト・アメリカン・コーポレーション)のデータ流出事件は、顧客データの保護義務を怠った組織に対して規制当局が厳しく取り締まることへの呼び水となりました。

データ侵害もそうですが、保護されていない状態の顧客データをオンライン上で無防備のまま放置するのは、極めて軽率であり、組織の管理能力が疑われるものです。

First American Corporationのような組織から犯罪者がデータを盗む場合、最も被害が及ぶのは、取引先企業も含めた顧客です!

データ侵害の影響がビジネスに及んではいけません。TeamPassword を使って、企業のデジタル資産を保護しましょう。ぜひ今すぐ無料トライアルをお試しください。

Table of Contents

    First American Corporationとは

    1889年にカリフォルニア州オレンジ郡に設立されたFirst American Corporationは、不動産業界の金融サービス企業です。

    フォーチュン500にも選ばれており、この会社の評価額は75億ドル以上(2021年時点)、2万人弱の従業員数を誇ります。

    その他、インド支店を含む複数の子会社があり、雇用者数は4,000人以上にのぼります。

    2019年のFirst American Corporationのデータ流出事件で起こったこと

    First American Corporationのデータ流出事件は、企業の怠慢が招いたショッキングな事例です。ただ、幸いなことに、同社の顧客情報に関しては、犯罪者の手に渡ることなく済んだようです。

    2019年5月、ワシントン州の不動産開発業者であるベン・ショーヴァル氏は、遡ること2003年までの顧客データを含む約8億8500万個のファイルを発見しました。

    firstam.comでファイルを見つけるには、特定のURLを手に入れる必要がありました。しかし、URLがわかれば、あとはそのURLを増減させるだけで、他のデータにアクセスすることができたのです。

    First American Corporationが流出させてしまったデータの多くは、不動産購入者と売却者の間で行われる電信取引の際に用いられた口座番号などの金融情報でした。

    盗難ではなく流出!

    First American Corporationのデータは誰でも自由にアクセスできましたが、同社の記録は「盗まれたわけではない」という点が重要です。

    犯罪者がネットワークをハッキングして起こる「データ侵入」とは異なり、通常、「データ流出」は人為的なミスによって発生します。

    ただ、同社のケースでは、IDOR(Insecure Direct Object Reference:安全でない直接オブジェクト参照)と呼ばれるウェブサイトの設定ミスによって、顧客が認証なしで個人情報を閲覧することができてしまったたのです。

    まず、American Corporationのデータは配列が規則的なので、ショバル氏はURLの数字を変えるだけで、他の顧客データにアクセスすることができました。

    First American Corporationのデータがいつまでオンラインで利用可能だったかは正確には不明ですが、archive.orgで検索したところ、同社のデータは2017年3月頃まで利用可能であったことが判明しました!

    流出したデータの種類

    ファイルのほとんどは、不動産の買い手と売り手のフォーム、ID、SSN(社会保障番号)、運転免許証、口座明細書、中小企業の社内情報、住所、電話番号、メールアドレス、その他の機密情報や文書など、書類の原本をスキャンしたものと考えらています。

    これらの情報は、個人情報を盗んだり、スピアフィッシング攻撃(特定の組織や人物を狙い偽のメールを送って個人情報を集める標的型のフィッシング攻撃)やその他のソーシャルエンジニアリング攻撃を行う犯罪者にとって「宝の山」なのです。

    早期警告は無視されていた!

    2018年のペネトレーションテストでは、First American Corporationにデータ流出の可能性が指摘されていましたが、とんだ失態と管理上の不手際により、問題は修正されないままでした。

    First American Corporationのデータ流出事件が及ぼした影響

    フォーチュン500にも選ばれるような企業であるFirst American Corporationが、これだけの怠慢を働いておいてお咎めなしなど許されないですよね。

    この件に関して、ニューヨーク州金融サービス局は、2017年に施行された新しいサイバーセキュリティ規則に同社が違反していたことを明らかにしました。

    それにより、First American Corporationは、新しいサイバーセキュリティ規則の下で法的措置を受けた最初の企業になり、ニューヨーク州金融サービス局に48万7616ドルの罰金を払うこととなりました。

    データ流出への備えはできていますか?

    2019年のFirst American Corporationや2020年の CAM4 のようなデータ流出は、顧客をサイバー攻撃の深刻なリスクにさらすことになります。

    このような個人情報は、犯罪者が企業や個人になりすましたり、さまざまなソーシャルエンジニアリング攻撃でターゲットにしたりするための手段となってしまいます。

    スピアフィッシング攻撃

    このような情報流出による最大のリスクは、犯罪者がスピアフィッシング攻撃を成功させるのに十分な個人情報を手に入れてしまう点です。

    First American Corporationのデータを使って、犯罪者は銀行の業務を模倣したスピアフィッシング・メールを、同社を装って送ることも考えられます。

    このメールには、銀行しか知らないような個人情報が含まれている可能性があり、それによって被害者は、犯罪者が被害者のデバイスやネットワークにアクセスするための不正なパッケージが中に含まれているリンクや添付ファイルを開いたりする可能性が高まります。

    攻撃者はユーザーのデバイスに侵入すると、他のアカウント、デバイス、ネットワークにアクセスするためのデータやパスワードを盗みます。

    システムやアカウントの完全な侵害を防ぐには、企業のパスワード保護が不可欠なのです!

    TeamPasswordによるパスワードの保護

    TeamPasswordは、チームメンバー間で安全に認証情報を共有するために、中小企業向けにデザインされたパスワードマネージャーです。

    実際のログイン認証情報を共有する必要はなく、その代わりに、パスワードは全て安全に保存され、TeamPassword と共有されます。従業員は、TeamPassword のブラウザ拡張機能を使って、ブラウザに保存されたパスワードとまったく同じようにログインします。

    2FA(二要素認証)を使うと、攻撃者がフィッシング攻撃によってチームメンバーのパスワードを盗んだとしても、TeamPassword アカウントへはアクセスできません。

    パスワードの作成、保管、保存

    TeamPassword にはパスワード生成機能が内蔵されているため、セキュリティのセキュリティの弱いパスワードや認証情報の使いまわしを心配する必要はなく、大文字、小文字、数字、記号を使った12~32文字のパスワードを作成することができます。

    新しいパスワードが作成されると、TeamPassword が自動的に全ユーザーの新しい認証情報を更新するので、チームメンバーは中断することなく作業を続けることができます。

    グループと共有

    さまざまなアカウントにグループを作成し、必要な人にだけアクセスを提供することができます。

    フリーランサーや請負業者と仕事をする場合、雇用期間中は彼らをグループに追加し、仕事が完了したら削除することができるので、チームメンバーが退社しても認証情報を変える必要はありません。

    TeamPasswordのアクティビティを記録する

    TeamPassword のアクティビティログでは、ログイン履歴の日付と時刻を確認することができます。また、TeamPassword のアクション全てに対してメール通知を設定できるので、最も重要なデータやアカウントを常に把握することができます。

    認定された安全なホスティングプロバイダー

    TeamPassword は最先端の暗号化技術を使用し、国際的に認められたセキュリティ認定をいくつか受けています。

    ‎当チームは定期的に脆弱性調査を行い、侵入や攻撃に対して万全の体制を整えています。

    TeamPassword を無料でお試し!

    データ侵害の犠牲者になってはいけません!14日間の無料トライアルにサインアップして、今すぐTeamPasswordで会社のデジタル資産を保護しましょう!

    Recommended Posts

    サイバーセキュリティ1 min
    時間ベースのワンタイムパスワード(TOTP)を利用するメリットとユースケース

    本記事では、時間ベースのワンタイムパスワード(TOTP)による多要素認証(MFA)を常に有効にすべき理由と、適切なパスワードマネージャーを使用することで、チームが多要素認証を導入する方法について説明します。

    時間ベースのワンタイムパスワード(TOTP)を利用するメリットとユースケース
    サイバーセキュリティ製品情報2 min
    認証アプリおすすめ7選!今すぐ使いたい認証アプリとは?

    パスワードには、致命的な欠陥があることは以前から指摘されています。それゆえ、多要素認証(MFA)は、ユーザーとそのデータをオンラインで保護する上で非常に重要になってきています。本記事では、おすすめの認証アプリを厳選してご紹介します。

    認証アプリおすすめ7選!今すぐ使いたい認証アプリとは?
    サイバーセキュリティ1 min
    2段階認証でセキュリティを最大限に高める方法

    パスワードだけではサイバー犯罪者の侵入を防ぐには十分ではありません。そこで2FA(2段階認証)の出番です。本記事では、2FAがなぜサイバー犯罪やオンライン詐欺から自分自身とビジネスを守るうえで重要なのかについて説明し、2FAを使用するためのベストプラクティスをご紹介します。

    2段階認証でセキュリティを最大限に高める方法
    ニュースサイバーセキュリティ1 min
    SKテレコムで大規模なSIMカード情報流出

    2025年4月18日、韓国最大の通信事業者SKテレコム(SKT)が「過去最悪レベル」の重大なサイバーセキュリティ被害に見舞われました。今回の情報漏洩の規模は極めて深刻で、SKTの加入者、推定約2500万人、つまり実質的に全ユーザーに影響を与えたとされています。

    SKテレコムで大規模なSIMカード情報流出
    Enhance your password security

    The best software to generate and have your passwords managed correctly.

    Images of the TeamPassword mobile and desktop apps
    Quotes Icon

    Andrew M.

    Andrew M.

    VP of Operations

    "We use TeamPassword for our small non-profit and it's met our needs well."

    Get Started

    Table Of Contents

      Related Posts
      時間ベースのワンタイムパスワード(TOTP)を利用するメリットとユースケース

      サイバーセキュリティ

      May 29, 20251 min read

      時間ベースのワンタイムパスワード(TOTP)を利用するメリットとユースケース

      本記事では、時間ベースのワンタイムパスワード(TOTP)による多要素認証(MFA)を常に有効にすべき理由と、適切なパスワードマネージャーを使用することで、チームが多要素認証を導入する方法について説明します。

      認証アプリおすすめ7選

      サイバーセキュリティ

      May 22, 20252 min read

      認証アプリおすすめ7選!今すぐ使いたい認証アプリとは?

      パスワードには、致命的な欠陥があることは以前から指摘されています。それゆえ、多要素認証(MFA)は、ユーザーとそのデータをオンラインで保護する上で非常に重要になってきています。本記事では、おすすめの認証アプリを厳選してご紹介します。

      2段階認証でセキュリティを最大限に高める方法

      サイバーセキュリティ

      May 15, 20251 min read

      2段階認証でセキュリティを最大限に高める方法

      パスワードだけではサイバー犯罪者の侵入を防ぐには十分ではありません。そこで2FA(2段階認証)の出番です。本記事では、2FAがなぜサイバー犯罪やオンライン詐欺から自分自身とビジネスを守るうえで重要なのかについて説明し、2FAを使用するためのベストプラクティスをご紹介します。

      Never miss an update!

      Subscribe to our blog for more posts like this.

      Promotional image