アメリカン・エキスプレスは、さまざまな販売業者のサードパーティ・サプライヤーが同社のシステムへの不正アクセスを報告したことを受け、顧客に書面で警告し、アカウントの詳細が侵害された可能性があると警告した。
詳細は、米国マサチューセッツ州の規制当局に宛てた書簡の後に明らかになった。 クレジットカード大手は顧客に対し、自社のシステムにはアクセスされておらず、この書簡は予防策であると述べた。
顧客に宛てた書簡の中で副社長のアネケ・コベル氏は次のように述べている。
「American Express が所有または管理するシステムは、この事件によって侵害されていないことに留意することが重要です。私たちは予防措置としてこの通知を提供しています」と Covell 氏は付け加えました。
アメリカン・エキスプレスは顧客に対し、カードの口座番号、名前、有効期限を含むその他の情報が漏洩した可能性があると伝えた。
同社はアカウントの不正行為を監視していると述べ、影響を受けた顧客に対し「不正請求」については責任を負わないと伝えた。 影響を受ける可能性のある顧客数の詳細については明らかにしなかった。 顧客に対し、不正行為の可能性がないかアカウントを確認するよう警告した。
匿名を希望した英国の金融サービス部門のITセキュリティ専門家の一人は、サードパーティを通じた侵害は「相互に関連した業界の危険」の1つであるとComputer Weeklyに語った。
「金融サービス業界は相互に関連し合っているため、これは金融サービス業界全体で起こっていることです。 これは、リンクされた企業が相互にお金を移動し、データが共有されるエコシステムです。 これらの企業はいずれも単独で活動することはできません。どの企業もさまざまなシステムのプロバイダーを抱えています。」と彼らは言いました。
同専門家は、ハッカーはこのエコシステムの最も弱い部分をターゲットにしていると付け加えた。 フォームには階層があり、ハッカーは 10 歩遅れた管理システムなどの脆弱なリンクを探しています。
「American Express のような大手ブランドから遠ざかるほど、ハッカーは相互リンクされているサードパーティでより弱いシステムを見つけようとします。 小さくて無害に見えるものかもしれませんが、ハッカーはこの方法でより重要なシステムに侵入する可能性があります。」
サイバー インテリジェンス プラットフォームである SecurityScorecard の最近の統計によると、記録された第三者によるサイバー セキュリティ侵害の約 4 分の 3 は、被害者のソフトウェアおよびテクノロジーのサプライ チェーン内の他のエンティティが攻撃された後に発生したことがわかりました。
SecurityScorecard が 2023 年に記録したすべての侵害のうち、サードパーティによる侵害は約 29% を占めています。データによると、攻撃ベクトルが大幅に過小報告されているにもかかわらず、これは実際の数を大幅に過小評価している可能性が非常に高いです。
「サプライヤーのエコシステムは、ランサムウェア グループにとって非常に望ましいターゲットです」と、SecurityScorecard の脅威調査およびインテリジェンス担当上級副社長、Ryan Sherstobitoff 氏は述べています。 「サードパーティの侵害の被害者は、ランサムウェアのメモを受け取るまで事件に気づかないことが多く、攻撃者が検出されることなく数百の企業に侵入する時間ができてしまいます。」