facebook social icon
x social icon
linkedin social icon

First American Corporationのデータ流出事件で起こったこと

First American Corporation(ファースト・アメリカン・コーポレーション)のデータ流出事件は、顧客データの保護義務を怠った組織に対して規制当局が厳しく取り締まることへの呼び水となりました。

データ侵害もそうですが、保護されていない状態の顧客データをオンライン上で無防備のまま放置するのは、極めて軽率であり、組織の管理能力が疑われるものです。

First American Corporationのような組織から犯罪者がデータを盗む場合、最も被害が及ぶのは、取引先企業も含めた顧客です!

データ侵害の影響がビジネスに及んではいけません。TeamPassword を使って、企業のデジタル資産を保護しましょう。ぜひ今すぐ無料トライアルをお試しください。

Table of Contents

    First American Corporationとは

    1889年にカリフォルニア州オレンジ郡に設立されたFirst American Corporationは、不動産業界の金融サービス企業です。

    フォーチュン500にも選ばれており、この会社の評価額は75億ドル以上(2021年時点)、2万人弱の従業員数を誇ります。

    その他、インド支店を含む複数の子会社があり、雇用者数は4,000人以上にのぼります。

    2019年のFirst American Corporationのデータ流出事件で起こったこと

    First American Corporationのデータ流出事件は、企業の怠慢が招いたショッキングな事例です。ただ、幸いなことに、同社の顧客情報に関しては、犯罪者の手に渡ることなく済んだようです。

    2019年5月、ワシントン州の不動産開発業者であるベン・ショーヴァル氏は、遡ること2003年までの顧客データを含む約8億8500万個のファイルを発見しました。

    firstam.comでファイルを見つけるには、特定のURLを手に入れる必要がありました。しかし、URLがわかれば、あとはそのURLを増減させるだけで、他のデータにアクセスすることができたのです。

    First American Corporationが流出させてしまったデータの多くは、不動産購入者と売却者の間で行われる電信取引の際に用いられた口座番号などの金融情報でした。

    盗難ではなく流出!

    First American Corporationのデータは誰でも自由にアクセスできましたが、同社の記録は「盗まれたわけではない」という点が重要です。

    犯罪者がネットワークをハッキングして起こる「データ侵入」とは異なり、通常、「データ流出」は人為的なミスによって発生します。

    ただ、同社のケースでは、IDOR(Insecure Direct Object Reference:安全でない直接オブジェクト参照)と呼ばれるウェブサイトの設定ミスによって、顧客が認証なしで個人情報を閲覧することができてしまったたのです。

    まず、American Corporationのデータは配列が規則的なので、ショバル氏はURLの数字を変えるだけで、他の顧客データにアクセスすることができました。

    First American Corporationのデータがいつまでオンラインで利用可能だったかは正確には不明ですが、archive.orgで検索したところ、同社のデータは2017年3月頃まで利用可能であったことが判明しました!

    流出したデータの種類

    ファイルのほとんどは、不動産の買い手と売り手のフォーム、ID、SSN(社会保障番号)、運転免許証、口座明細書、中小企業の社内情報、住所、電話番号、メールアドレス、その他の機密情報や文書など、書類の原本をスキャンしたものと考えらています。

    これらの情報は、個人情報を盗んだり、スピアフィッシング攻撃(特定の組織や人物を狙い偽のメールを送って個人情報を集める標的型のフィッシング攻撃)やその他のソーシャルエンジニアリング攻撃を行う犯罪者にとって「宝の山」なのです。

    早期警告は無視されていた!

    2018年のペネトレーションテストでは、First American Corporationにデータ流出の可能性が指摘されていましたが、とんだ失態と管理上の不手際により、問題は修正されないままでした。

    First American Corporationのデータ流出事件が及ぼした影響

    フォーチュン500にも選ばれるような企業であるFirst American Corporationが、これだけの怠慢を働いておいてお咎めなしなど許されないですよね。

    この件に関して、ニューヨーク州金融サービス局は、2017年に施行された新しいサイバーセキュリティ規則に同社が違反していたことを明らかにしました。

    それにより、First American Corporationは、新しいサイバーセキュリティ規則の下で法的措置を受けた最初の企業になり、ニューヨーク州金融サービス局に48万7616ドルの罰金を払うこととなりました。

    データ流出への備えはできていますか?

    2019年のFirst American Corporationや2020年の CAM4 のようなデータ流出は、顧客をサイバー攻撃の深刻なリスクにさらすことになります。

    このような個人情報は、犯罪者が企業や個人になりすましたり、さまざまなソーシャルエンジニアリング攻撃でターゲットにしたりするための手段となってしまいます。

    スピアフィッシング攻撃

    このような情報流出による最大のリスクは、犯罪者がスピアフィッシング攻撃を成功させるのに十分な個人情報を手に入れてしまう点です。

    First American Corporationのデータを使って、犯罪者は銀行の業務を模倣したスピアフィッシング・メールを、同社を装って送ることも考えられます。

    このメールには、銀行しか知らないような個人情報が含まれている可能性があり、それによって被害者は、犯罪者が被害者のデバイスやネットワークにアクセスするための不正なパッケージが中に含まれているリンクや添付ファイルを開いたりする可能性が高まります。

    攻撃者はユーザーのデバイスに侵入すると、他のアカウント、デバイス、ネットワークにアクセスするためのデータやパスワードを盗みます。

    システムやアカウントの完全な侵害を防ぐには、企業のパスワード保護が不可欠なのです!

    TeamPasswordによるパスワードの保護

    TeamPasswordは、チームメンバー間で安全に認証情報を共有するために、中小企業向けにデザインされたパスワードマネージャーです。

    実際のログイン認証情報を共有する必要はなく、その代わりに、パスワードは全て安全に保存され、TeamPassword と共有されます。従業員は、TeamPassword のブラウザ拡張機能を使って、ブラウザに保存されたパスワードとまったく同じようにログインします。

    2FA(二要素認証)を使うと、攻撃者がフィッシング攻撃によってチームメンバーのパスワードを盗んだとしても、TeamPassword アカウントへはアクセスできません。

    パスワードの作成、保管、保存

    TeamPassword にはパスワード生成機能が内蔵されているため、セキュリティのセキュリティの弱いパスワードや認証情報の使いまわしを心配する必要はなく、大文字、小文字、数字、記号を使った12~32文字のパスワードを作成することができます。

    新しいパスワードが作成されると、TeamPassword が自動的に全ユーザーの新しい認証情報を更新するので、チームメンバーは中断することなく作業を続けることができます。

    グループと共有

    さまざまなアカウントにグループを作成し、必要な人にだけアクセスを提供することができます。

    フリーランサーや請負業者と仕事をする場合、雇用期間中は彼らをグループに追加し、仕事が完了したら削除することができるので、チームメンバーが退社しても認証情報を変える必要はありません。

    TeamPasswordのアクティビティを記録する

    TeamPassword のアクティビティログでは、ログイン履歴の日付と時刻を確認することができます。また、TeamPassword のアクション全てに対してメール通知を設定できるので、最も重要なデータやアカウントを常に把握することができます。

    認定された安全なホスティングプロバイダー

    TeamPassword は最先端の暗号化技術を使用し、国際的に認められたセキュリティ認定をいくつか受けています。

    ‎当チームは定期的に脆弱性調査を行い、侵入や攻撃に対して万全の体制を整えています。

    TeamPassword を無料でお試し!

    データ侵害の犠牲者になってはいけません!14日間の無料トライアルにサインアップして、今すぐTeamPasswordで会社のデジタル資産を保護しましょう!

    おすすめの記事

    ニュースサイバーセキュリティ1 min
    SKテレコムで大規模なSIMカード情報流出

    2025年4月18日、韓国最大の通信事業者SKテレコム(SKT)が「過去最悪レベル」の重大なサイバーセキュリティ被害に見舞われました。今回の情報漏洩の規模は極めて深刻で、SKTの加入者、推定約2500万人、つまり実質的に全ユーザーに影響を与えたとされています。

    SKテレコムで大規模なSIMカード情報流出
    サイバーセキュリティ1 min
    フリーランスと連携して業務を行う際にデータを安全に保つ方法とは?

    急速に成長するギグエコノミーによって、エージェントはわずか数人の正社員で幅広いマーケティングおよびクリエイティブサービスを提供できるようになりました。本記事では、リモートワーカーやフリーランスを多く抱える企業において、データの安全を保つために考慮すべき事項を9つご紹介します。

    フリーランスと連携して業務を行う際にデータを安全に保つ方法とは?
    サイバーセキュリティパスワード管理1 min
    Wi-Fi パスワードをデバイス間で簡単に共有する方法

    Wi-Fi パスワードの共有の方法は、Wi-Fi に必要なセキュリティのレベル、共有の近さ、パスワード共有の頻度など、いくつかの事柄に左右されます。本記事では、さまざまな状況下で Wi-Fi パスワードを色々なデバイスで共有する方法をご説明します。

    Wi-Fi パスワードをデバイス間で簡単に共有する方法
    サイバーセキュリティ1 min
    RBAC(ロールベースアクセス制御)とは?仕組みや導入のメリットについて解説

    組織のデータとデジタルリソースの保護は極めて重要です。本記事では、組織のセキュリティ戦略の重要な要素としてRBACを実装する方法を解説します。この記事を通じて、RBACが組織のアクセス管理にどのような変化をもたらすか学ぶことが可能です。

    RBAC(ロールベースアクセス制御)とは?仕組みや導入のメリットについて解説
    パスワードの安全性を高める

    パスワードを生成し、正しく管理させるための最適なソフトウェア

    Images of the TeamPassword mobile and desktop apps
    Quotes Icon

    Andrew M.

    Andrew M.

    オペレーション担当副社長

    "私たちは小規模な非営利団体のためにTeamPasswordを使用していますが、私たちのニーズにうまく対応しています。"

    今すぐ始める

    Table Of Contents

      関連記事
      SKテレコムで大規模なSIMカード情報流出

      ニュース

      May 8, 20251 min read

      SKテレコムで大規模なSIMカード情報流出

      2025年4月18日、韓国最大の通信事業者SKテレコム(SKT)が「過去最悪レベル」の重大なサイバーセキュリティ被害に見舞われました。今回の情報漏洩の規模は極めて深刻で、SKTの加入者、推定約2500万人、つまり実質的に全ユーザーに影響を与えたとされています。

      フリーランスと連携して業務を行う際にデータを安全に保つ方法とは?

      サイバーセキュリティ

      May 1, 20251 min read

      フリーランスと連携して業務を行う際にデータを安全に保つ方法とは?

      急速に成長するギグエコノミーによって、エージェントはわずか数人の正社員で幅広いマーケティングおよびクリエイティブサービスを提供できるようになりました。本記事では、リモートワーカーやフリーランスを多く抱える企業において、データの安全を保つために考慮すべき事項を9つご紹介します。

      Wi-Fi パスワードをデバイス間で簡単に共有する方法

      サイバーセキュリティ

      April 23, 20251 min read

      Wi-Fi パスワードをデバイス間で簡単に共有する方法

      Wi-Fi パスワードの共有の方法は、Wi-Fi に必要なセキュリティのレベル、共有の近さ、パスワード共有の頻度など、いくつかの事柄に左右されます。本記事では、さまざまな状況下で Wi-Fi パスワードを色々なデバイスで共有する方法をご説明します。

      最新情報をお見逃しなく!

      このような投稿をもっと読みたい方は、ブログを購読してください。

      Promotional image