フィンテック企業、ランサムウェア攻撃で67万2千人超の金融情報流出

フィンテック企業マーキス（Marquis）がランサムウェア攻撃を受け、67万2千人以上の金融・個人情報が流出した。今回の攻撃対象は、銀行自身のシステムではなく、銀行が業務を委託した第三者の技術企業だった。

テキサス州に本社を置くマーキスは、数百の銀行に対し、顧客行動分析およびサービス改善のためのデータ分析ツールを提供する企業である。ハッカーは2025年8月にマーキスシステムに侵入してランサムウェアを配布し、これにより少なくとも67万2,075人の情報が流出したとみられる。被害者の半数以上がテキサス州居住者だったが、複数の地域にわたる顧客が影響を受けた。流出した情報には、口座からの資金引き出し、融資の開設、なりすましといった犯罪に悪用される可能性のある機密性の高い内容が含まれている。

マーキスは、今回の攻撃の原因をファイアウォール供給業者ソニックウォール（SonicWall）のセキュリティ上の欠陥であると指摘し、訴訟を起こした。マーキス側は、ソニックウォールのクラウドバックアップシステムが適切に保護されておらず、ファイアウォール設定ファイル、暗号化された認証情報、詳細なネットワーク構造などが外部に露呈したと主張している。これらの情報がハッカーにとって、内部システム全体を覗き見できる青写真の役割を果たしたというのがマーキスの説明である。

訴訟において、マーキスはソニックウォールがクラウドバックアップサービスが侵害された事実を知りながら、被害範囲を直ちに公表しなかったと主張している。ソニックウォールがファイアウォール保護機能には問題ないと安心させる間に、マーキスの先制対応が遅延し、これはセキュリティ供給業者としての基本的なサイバーセキュリティ責任を放棄した重大な過失にあたるとマーキスは主張した。