フィンテック大手Figureで100万人規模の個人情報流出

97万人の個人情報が一度に流出したら、あなたはどう感じるだろうか。

ブロックチェーン融資大手のFigureで発生したデータ流出事件が、想定を大幅に上回る規模であることが明らかになった。セキュリティ研究者のTroy Hunt氏による分析では、流出した顧客データには967,200件の固有メールアドレスが含まれており、氏名、生年月日、住所、電話番号なども漏洩したとされる。

事件の経緯と犯行グループの正体

Figureは先週、「限定的な数のファイル」がハッカーによって盗まれたことを認めたが、具体的な被害規模や流出データの詳細については明かしていなかった。しかし、データ流出通知サイト「Have I Been Pwned」の創設者でもあるHunt氏が、サイバー犯罪グループShinyHuntersによって公開されたとされる2.5GBのデータを分析した結果、被害の実態が判明した。

ShinyHuntersはTechCrunchに対し、今回のサイバー攻撃への関与を認めている。同グループは、身代金の支払いを拒否した企業のデータを公開する「リークサイト」を運営しており、今回もFigureから盗んだとするデータを公開した。

金融テック業界が直面するセキュリティの現実

Figureは従来の金融機関とは異なり、ブロックチェーン技術を活用した融資サービスを提供している。デジタルネイティブな企業として革新的なサービスを展開する一方で、今回の事件は新興フィンテック企業が抱えるセキュリティ上の課題を浮き彫りにした。

特に注目すべきは、ShinyHuntersのような組織化されたサイバー犯罪グループが、金融テック企業を標的として選んでいることだ。これらの企業は大量の個人情報と金融データを保有しながら、従来の銀行ほど厳格なセキュリティ体制を整備していない場合が多い。

日本の金融テック業界への示唆

日本でもPayPay、メルペイ、LINE Payなどのフィンテックサービスが急速に普及している。今回のFigureの事例は、日本の金融テック企業にとっても他人事ではない。特に、個人情報保護法の改正により、データ流出時の報告義務や罰則が強化された日本では、一度の大規模流出が企業の存続に関わる問題となりかねない。

日本の金融庁は従来、銀行に対して厳格なセキュリティ基準を求めてきたが、新興のフィンテック企業に対してもこれまで以上に高いセキュリティ水準を要求する可能性が高い。