金融テック大手Figure、社会的工学攻撃でデータ流出

月曜日の朝、Figure Technologyの従業員が受け取った一通のメールが、250万人の顧客情報を危険にさらすきっかけとなった。

ブロックチェーン基盤の融資会社であるFigureは2月13日、サイバー攻撃によるデータ流出を公式に認めた。同社の広報担当者アレテア・ジャディック氏によると、攻撃者は従業員に対する社会的工学攻撃（ソーシャルエンジニアリング）を通じて「限定的な数のファイル」を盗み出したという。

攻撃の全貌：ShinyHuntersの犯行声明

ハッカーグループShinyHuntersは、自らの犯行であることを公表し、Figureが身代金の支払いを拒否したため、2.5GBの盗難データをダークウェブ上で公開した。流出したデータには顧客の氏名、住所、生年月日、電話番号などの個人情報が含まれている。

ShinyHuntersのメンバーは、今回の攻撃が単一認証プロバイダーOktaを利用する企業を標的とした大規模なハッキングキャンペーンの一環であると明かした。同じ攻撃により、ハーバード大学やペンシルベニア大学も被害を受けている。

単一認証システムの二重の刃

今回の事件は、現代のデジタル金融サービスが直面する根本的な矛盾を浮き彫りにしている。企業は利便性とセキュリティの向上を目指してOktaのような単一認証システム（SSO）を導入するが、これが逆に「単一障害点」となるリスクを抱えている。

一つのシステムが突破されれば、複数の組織が同時に影響を受ける。Figureのようなフィンテック企業にとって、この脆弱性は特に深刻だ。顧客の金融情報を扱う企業への信頼は、一度の流出事件で長期間にわたって損なわれる可能性がある。

日本企業への示唆

日本の金融機関やフィンテック企業にとって、この事件は重要な警鐘となる。日本ではみずほ銀行やSBI証券などがデジタル化を推進しているが、同時にサイバーセキュリティへの投資も不可欠だ。

特に注目すべきは、攻撃の手法が高度な技術的侵入ではなく、人間の心理を突いた社会的工学攻撃だったことだ。どれほど堅牢なシステムを構築しても、従業員教育が不十分であれば防御は破られる。

Figureは被害を受けた顧客に無料の信用監視サービスを提供すると発表したが、データ流出の影響は長期間続く可能性がある。個人情報は一度流出すれば回収不可能であり、二次的な詐欺被害のリスクも高まる。