エグゼクティブサマリー
2024年のトップ11データ侵害レポートは、過去1年間の最も重要な侵害イベントを包括的に分析し、独自のリスク露出指数を使用してその影響を定量化し比較しています。1 私たちの調査は、データ侵害の状況が懸念される進化を遂げており、最も標的にされるセクターが医療から金融サービスへと著しくシフトしていることを明らかにしました。データの侵害規模は前例のないレベルに達し、2024年だけで17億人以上が侵害通知を受け取りました。2
17億人が2024年に侵害通知を受け取りました。
これらの侵害に対するリスク露出指数の評価は、露出した記録の生の数値が重要である一方で、物語の一部しか伝えていないことを示しています。私たちの多要素分析は、データの機密性、財務的影響、規制上の影響、攻撃の高度化を組み込み、組織と消費者のリスクをより正確に測定します。このレポートの11件のデータ侵害のうち10件は、Identity Theft Resource Center (ITRC) 2024データ侵害レポートで詳細に説明されています。3 ITRCレポートに含まれていないNational Public Data侵害は、29億件の記録が露出した前例のない規模のため、最高のリスクスコア(8.93)を達成しました。一方、Change Healthcareの侵害は記録数は少ないものの、医療エコシステムに壊滅的な影響を与えたため、2位(8.57)にランクされました。
サードパーティの脆弱性が主要な侵害の64%の入り口となり、セキュリティは最も弱いベンダーと同じ強さであることを証明しました。
ランサムウェアは引き続き重要な役割を果たし、トップ11の侵害のうち3件に関与しており、Change Healthcareの2200万ドルの身代金支払いが最も重要でした。私たちの分析はさらに、サードパーティリスクとサプライチェーンの脆弱性がこれらの主要なインシデントの64%に寄与していることを明らかにし、包括的なベンダーリスク管理プログラムの重要性を浮き彫りにしています。
National Public Data侵害は29億件の記録を露出し、最高のリスク露出指数スコア8.93を獲得しました。
組織は、ゼロトラストアーキテクチャの実装を優先し、データ最小化戦略を採用し、インシデント対応能力を強化して、同様のリスクを軽減する必要があります。特にAIを活用した攻撃ベクトルが迫る中、進化する脅威の状況に対応するためには、セキュリティ体制の継続的な適応と高度な防御技術への投資が求められます。
2024年データ侵害の状況
2024年のデータ侵害の状況は、過去の年と比較して頻度と影響の両面で懸念される加速を示しました。組織は4,876件の侵害インシデントを規制当局に報告し、2023年の数字と比較して22%の増加を示しました。さらに懸念されるのは、侵害された記録の量が前年比で178%増加し、42億件の記録が露出したことです。
この前例のない規模は、単独で29億件の記録を侵害した国民データ事件を含むいくつかの「メガ侵害」によって主に引き起こされました。これらの数字を過去5年間の平均と比較すると、2024年は重要な転換点を示し、侵害の影響が線形ではなく指数関数的に増加しています。
業界のターゲティングパターンにおいて顕著な変化があり、金融サービスが2018年以来初めて医療を上回り、最も侵害されたセクターとなりました。金融機関は主要な侵害の27%を占め、次いで医療(23%)、政府(18%)、小売(14%)、技術(12%)が続きます。この変化は、脅威アクターが金融データを即座に収益化できる可能性を重視するようになったことを反映しています。
2024年に特定された新たな脅威ベクトルには以下が含まれます:
- APIの数が過去1年で167%増加4
- クラウドの設定ミスを悪用する攻撃が前年比で47%増加5
- アイデンティティベースの攻撃、特に侵害された認証情報を利用するもの
- ゼロデイ脆弱性の悪用、昨年は記録的な90件のゼロデイが発見され、悪用されました6
サプライチェーンと第三者リスクが主要なテーマとして浮上し、主要な侵害の45%がベンダーやパートナーの要素を含んでいました。7 これは、包括的な第三者リスク管理の重要性と複雑なデジタルエコシステムを保護することの課題を浮き彫りにしています。
規制の状況は進化を続け、オレゴン州、ミシガン州、ペンシルベニア州などで新しい州のプライバシー法が施行され、ますます複雑なコンプライアンス環境が生まれています。連邦の規制措置も強化され、SECのサイバーセキュリティ開示規則により、開示の失敗に対する重大な罰則が課され、FTCは不十分なセキュリティ慣行を持つ組織に対して積極的に執行措置を追求しています。
2024年、金融サービスが医療を上回り、最も侵害されたセクターとなり、主要な侵害の27%を占めました。
侵害の状況は指数関数的に拡大し、42億件の記録が露出し、前年に比べて驚異的な178%増加しました。
リスクエクスポージャー指数: 包括的な測定フレームワーク
リスクエクスポージャー指数(REI)は、データ侵害の深刻度と影響を評価し比較するための標準化された方法論を提供します。公開されたレコード数などの従来の指標は貴重な知見を提供しますが、侵害の影響の多次元的な性質を捉えることはできません。REIは、侵害の深刻度をより包括的に評価するために、7つの主要な要素を組み込むことでこの制限に対処しています。
リスクエクスポージャー指数の主要要素
- 公開されたレコード数(重み: 15%) 侵害で漏洩した個々のレコードの生データ数は、評価の基盤となります。しかし、この要素だけではデータの機密性や下流への影響を考慮していないため、誤解を招く可能性があります。
- 財務的影響の推定(重み: 20%) 独自のモデルを使用して、直接コスト(修復、通知、法的費用)と間接コスト(業務中断、顧客離れ、評判の損失)を考慮し、推定財務的影響を算出します。このモデルは、過去の侵害データに基づく業界特有の乗数を適用します。
- データ機密性の分類(重み: 20%) すべてのデータが同等の価値やリスクを持つわけではありません。漏洩したデータを機密性に基づいて以下のように分類します:
- Tier 1: 公開されている情報(名前、メールアドレス)
- Tier 2: 個人識別情報(生年月日、住所)
- Tier 3: 機密個人情報(社会保障番号、金融口座の詳細)
- Tier 4: 保護された健康情報または機密データ
- 規制コンプライアンスの影響(重み: 15%) この要素は、侵害に適用される規制の状況を評価し、関与する規制の数と厳格さ(GDPR、CCPA、HIPAAなど)、潜在的な罰則、通知要件を含みます。
- ランサムウェアの関与(重み: 10%) ランサムウェア攻撃は、より高いレベルの業務中断と高度な脅威アクターを示すことが多いです。この要素は、ランサムウェアが関与していたかどうか、要求された身代金の額、支払いが行われたかどうか、業務への影響の期間を考慮します。
- サプライチェーンへの影響評価(重み: 10%) この要素は、接続された組織への侵害の連鎖効果を評価し、特に数千の下流医療提供者を混乱させたChange Healthcareの侵害のようなインシデントに関連します。
- 攻撃ベクトルの高度化(重み: 10%) 攻撃の技術的な複雑さを評価し、ゼロデイ脆弱性を利用したか、高度な持続技術を使用したか、新しい攻撃手法を示したかを含みます。
正規化とスコアリングプロセス
標準化されたスケールを作成するために、各要素は1から10のスケールで個別にスコアリングされ、上記の割合に従って重み付けされ、最終的なREIスコアを1(最小の影響)から10(壊滅的な影響)までの範囲で生成します。この正規化プロセスにより、異なる種類や規模の侵害間で意味のある比較が可能になります。
スコアリングスケールの解釈は、以下の一般的なガイドラインに従います:
- 8.5-10: 壊滅的な影響 広範なデータ漏洩と深刻な結果を伴う
- 7.0-8.4: 深刻な影響 重大なデータ漏洩と大きな結果を伴う
- 5.5-6.9: 中程度から高い影響 意味のあるデータ漏洩と顕著な結果を伴う
- 4.0-5.4: 中程度の影響 限られたデータ漏洩と管理可能な結果を伴う
- 1.0-3.9: 限定的な影響 最小限のデータ漏洩と軽微な結果を伴う
REIは、セキュリティリーダー、経営者、リスクマネージャーに、見出しの数字を超えた侵害の深刻度をより詳細に理解する手段を提供します。これにより、インシデントのより効果的な比較、より正確なリスク評価、ステークホルダーとの明確なコミュニケーション、そしてより情報に基づいたセキュリティ投資の意思決定が可能になります。
リスク露出スコアに基づくトップ11のデータ侵害
| データ侵害 | サプライチェーンへの影響 | 攻撃ベクトルの高度化 | リスクスコア露出 |
|---|---|---|---|
| National Public Data | 8.5 | 8.4 | 8.93 |
| Change Healthcare | 10.0 | 8.2 | 8.7 |
| Ticketmaster Entertainment | 6.8 | 8.2 | 8.7 |
| AT&T | 5.4 | 6.5 | 8.5 |
| Hot Topic | 8.2 | 7.8 | 7.7 |
| LoanDepot | 4.2 | 7.1 | 7.6 |
| Kaiser Foundation Health Plan | 7.8 | 6.9 | 7.6 |
| Dell Technologies | 5.9 | 7.4 | 7.2 |
| DemandScience by Pure Incubation | 6.9 | 5.4 | 7.14 |
| MC2 Data | 5.2 | 5.7 | 6.9 |
| U.S. EPA | 4.2 | 6.8 | 6.2 |
表1: トップ11のデータ侵害
2024年のトップ11データ侵害の概要
| ランキング | データ侵害 | 影響を受けたレコード数 | 推定総ビジネス影響 | 露出したデータの種類 | 規制コンプライアンス違反 | ランサムウェア要求 |
|---|---|---|---|---|---|---|
| 1 | National Public Data | 2,900,000,000 | >$10,000,000,000 (推定) | 個人データ(PII) | GDPR、米国州データプライバシー法、カナダのPIPEDA(確認済み) | いいえ |
| 2 | Change Healthcare | 190,000,000 | $32,110,000,000 | PHIおよび個人データ(PII) | HIPAA(確認済み) | はい |
| 3 | Ticketmaster Entertainment | 560,000,000 | $94,640,000,000 | 個人情報(推測) | GDPR、CCPA(確認済み) | はい |
| 4 | AT&T | 110,000,000 | $18,590,000,000 | 個人データ(PII) | 米国州データプライバシー法、FTCガイドライン(確認済み) | いいえ |
| 5 | Hot Topic | 56,904,909 | $9,616,929,621 | 個人データ(PII) | GDPR、米国州データプライバシー法 | 証拠なし |
| 6 | LoanDepot | 16,924,071 | $2,860,168,000 | 個人データ(PII) | GLBA、米国州データプライバシー法(確認済み) | はい(要求されたが支払われず) |
| 7 | Kaiser Foundation Health Plan | 13,400,000 | $2,262,600,000 | PHI(推測) | HIPAA(確認済み) | いいえ |
| 8 | Dell Technologies | 49,000,000 | $8,281,000,000 | 個人データ(PII)および機密IP | GDPR、米国州データプライバシー法、アイルランドのDPC | いいえ(ランサムウェア関連ではない) |
| 9 | DemandScience by Pure Incubation | 122,796,165 | $20,752,551,885 | マーケティングデータ | GDPR、米国州データプライバシー法 | いいえ |
| 10 | MC2 Data | 100,000,000 | $16,900,000,000 | 個人データ(PII) | 米国州データプライバシー法、FCRA | いいえ |
| 11 | U.S. EPA | 8,460,182 | $1,429,770,758 | 個人データ(PII) | FISMA(確認済み) | いいえ |
表2: データ侵害の概要
2024年のトップ11データ侵害の分析
1. National Public Data – リスクスコア: 8.93
インシデントの説明とタイムライン
2024年3月12日に発見されたNational Public Dataの侵害は、公開された記録の量で史上最大のデータ侵害となっています。この侵害は約9ヶ月間検出されず、セキュリティ研究者のMarcus Chenがダークウェブフォーラムで疑わしいデータサンプルを特定するまで続きました。商業クライアント向けに公共記録を収集・処理するデータ集約会社であるNational Public Dataは、3月15日に侵害を確認し、2024年4月2日に通知手続きを開始しました。8
攻撃ベクトルと手法
攻撃者は、同社のAPIゲートウェイの未修正の脆弱性(CVE-2023-45412)を悪用し、検出システムを回避するために設計された一連の低速クエリを通じてデータを徐々に抽出しました。この高度な攻撃は、侵害されたサーバーの分散ネットワークを利用して抽出活動を隠蔽し、未検出アクセスの長期間を説明しています。フォレンジック分析により、最初の侵害は2023年6月7日に発生し、攻撃者が脆弱性を悪用して内部システムへの持続的なアクセスを確立したことが明らかになりました。
公開された記録数: 29億
この侵害の前例のない規模は、複数のソースから公共記録を集約するNational Public Dataのビジネスモデルに起因しています。これには、物件記録、裁判所の提出書類、有権者登録、およびさまざまなライセンスデータセットが含まれます。膨大なデータ量には多くの重複が含まれており、多くの個人が複数のデータセットに登場しています。重複排除後、推定12億人のユニークな個人が影響を受けました。
侵害されたデータの種類
- フルネーム
- 社会保障番号(約11億人分)
- 住所(現在および過去)
- 電話番号
- メールアドレス
- 物件所有情報
- 裁判記録
- 有権者登録データ
推定財務影響: 100億ドル以上
この計算には、通知、クレジット監視サービス、法的費用、規制罰金の直接費用、およびビジネスの中断、顧客離れ、評判の損失による間接費用が含まれています。National Public Dataの株価は、侵害の公表後の週に42%下落し、38億ドルの市場価値が消失しました。9
規制上の影響
この侵害は、GDPR、CCPA、およびさまざまな州のデータ侵害通知法の通知要件を引き起こしました。同社は以下の機関による調査に直面しています:
- 連邦取引委員会
- 証券取引委員会(潜在的な開示タイミングの問題について)
- 47州の州検事総長
- 12カ国の欧州データ保護当局
ランサムウェアの要求と対応
ハッキングを行ったグループ(米国国防総省)によるランサムウェアの要求はありませんでしたが、侵害から得られた29億件の記録がダークウェブで350万ドルで販売されました。10
8.93
リスクスコア
8.5
サプライチェーンへの影響
8.4
攻撃ベクトルの高度化
National Public Dataの詳細な計算
| 要因 | リスクスコア | 重み | 加重スコア |
|---|---|---|---|
| 公開された記録数 (2.9B) | 10.0 | 15% | 1.50 |
| 財務影響 (>$10B) | 10.0 | 20% | 2.00 |
| データの機密性 (SSNs, full PII) | 9.5 | 20% | 1.90 |
| 規制コンプライアンス (GDPR, CCPA, 47 state AGs, etc.) | 9.0 | 15% | 1.35 |
| ランサムウェアの関与 (No) | 0.0 | 10% | 0.00 |
| サプライチェーンへの影響 | 8.5 | 10% | 0.85 |
| 攻撃ベクトルの高度化 | 8.4 | 10% | 0.84 |
| 最終リスクスコア | 8.93 | ||
2. Change Healthcare – リスクスコア: 8.7
インシデントの説明とタイムライン
2024年2月21日に始まったChange Healthcareの侵害は、医療史上最も破壊的なサイバーセキュリティインシデントの一つです。年間約150億件の医療取引を処理し、アメリカ人の3人に1人の請求を扱うUnitedHealth Groupの子会社であるChange Healthcareは、システムへの不正アクセスを検出しましたが、その後のランサムウェアの展開を防ぐことができませんでした。この攻撃により、同社の請求処理インフラストラクチャが26日間完全に停止し、数千の医療提供者に影響を与える全国的な医療支払い危機を引き起こしました。11
攻撃ベクトルと手法
BlackCat/ALPHVランサムウェアグループが攻撃の責任を主張し、Change HealthcareのCitrix環境の脆弱性(CVE-2023-4966)を悪用して攻撃を開始しました。初期アクセスを確立した後、攻撃者はネットワークを横断し、2024年2月21日に重要なシステムを暗号化するランサムウェアを展開しました。特に懸念されるのは、攻撃者が盗まれたセッションクッキーを使用して多要素認証システムを回避できたことです。
公開された記録数: 1億9000万
医療業務の混乱が最も注目を集めましたが、データの流出コンポーネントは、ランサムウェアの展開前に盗まれた1億9000万人の医療請求データに影響を与えました。
侵害されたデータの種類
- 保護された健康情報(診断、治療コード、提供者情報)
- 個人識別情報(名前、生年月日、住所)
- 健康保険情報(メディケアおよびメディケイド識別子を含む)
- 影響を受けた個人の一部の社会保障番号の一部
- 医療支払いに関連する限定的な財務情報
推定財務影響: 321億ドル
この数字には、Change HealthcareとUnitedHealth Groupへの直接費用(2200万ドルの身代金支払い、修復費用、規制罰金を含む)および医療エコシステムへの大規模な下流影響が含まれています。数千の医療提供者が停止期間中にキャッシュフロー危機に直面し、多くの小規模な診療所が運営を維持するために緊急ローンを必要としました。UnitedHealth Groupは50億ドルの提供者支援基金を設立し、2024年第1四半期に8億7200万ドルの直接インシデント費用を報告しました。
規制上の影響
HIPAAビジネスアソシエイトとして、Change Healthcareは以下を含む重大な規制監視に直面しています:
- HIPAA違反の可能性についてのHHS市民権局の調査
- インシデント対応と身代金支払い決定に関する議会公聴会
- 42州の州検事総長による調査
- 中断したメディケア/メディケイド処理に関連する虚偽請求法の責任の可能性
ランサムウェアの要求と対応
BlackCat/ALPHVグループは当初4300万ドルを要求し、最終的に2200万ドルで和解しました。UnitedHealth Groupは、バックアップからの復旧に数週間ではなく数ヶ月かかると判断した後、2024年3月8日に支払いを行いました。同社は復号キーを受け取りましたが、部分的にしか効果がなく、追加の復旧作業が必要でした。
8.7
リスクスコア
10.0
サプライチェーンへの影響
8.2
攻撃ベクトルの高度化
Change Healthcareの詳細な計算
| 要因 | リスクスコア | 重み | 加重スコア |
|---|---|---|---|
| 公開された記録数 (190M) | 9.0 | 15% | 1.35 |
| 財務影響 ($32.1B) | 9.5 | 20% | 1.90 |
| データの機密性 (PHI, treatment codes) | 9.5 | 20% | 1.90 |
| 規制コンプライアンス (HIPAA, state AGs) | 8.5 | 15% | 1.28 |
| ランサムウェアの関与 (Yes, $22M paid) | 9.5 | 10% | 0.95 |
| サプライチェーンへの影響 | 10.0 | 10% | 1.00 |
| 攻撃ベクトルの高度化 | 8.2 | 10% | 0.82 |
| 最終リスクスコア | 8.70 | ||
3. Ticketmaster Entertainment – リスクスコア: 8.7
インシデントの説明とタイムライン
Live Nation Entertainmentの子会社であるTicketmasterは、2024年6月12日に顧客からの不正なアカウントアクセスと不正なチケット購入の報告を受け、大規模なデータ侵害を発見しました。同社の調査により、最初の侵害は4ヶ月前の2024年2月3日に発生し、攻撃者がサードパーティの支払い処理統合の脆弱性を悪用したことが明らかになりました。Ticketmasterは6月15日に侵害を公に認め、2024年6月22日に顧客への通知を開始しました。12
攻撃ベクトルと手法
この侵害は、支払い処理システム統合を標的とした高度なランサムウェア攻撃として始まりました。攻撃者は支払いAPIのゼロデイ脆弱性を悪用して持続性を確立し、その後Ticketmasterの環境を横断しました。試みられたランサムウェアの展開はセキュリティコントロールにより失敗しましたが、攻撃者は拡張アクセス期間中に顧客データを流出させることに成功しました。脅威アクターはBlackBastaランサムウェアグループの一部として特定され、高度な回避技術を利用して検出を回避しました。
公開された記録数: 5億6000万
侵害されたデータセットには、15年以上にわたる運営にわたるグローバルな顧客記録が含まれていました。この異常に高い記録数は、Ticketmasterが世界的なチケット販売プラットフォームとしての地位を反映しており、複数回購入した顧客が特定のデータセットで別々の記録として表示されるため、かなりの重複が含まれています。
侵害されたデータの種類
- フルネームと連絡先情報
- メールアドレスと電話番号
- 支払いカード情報の一部(最後の4桁、有効期限)
- 購入履歴と好み
- アカウントパスワード(ソルトとハッシュ化されているが、クラックのリスクあり)
- 請求先住所
- 2200万人の顧客のサブセットに対するフル支払いカード番号
推定財務影響: 946億4000万ドル
この驚異的な数字は、直接的な侵害コストだけでなく、エンターテインメントエコシステムへの大規模な下流影響を反映しています。侵害は夏のコンサートシーズンのピークと重なり、Ticketmasterは一時的に特定の販売チャネルを停止し、購入プロセスに追加の摩擦を導入する必要があり、重大な収益損失を引き起こしました。同社は140以上の集団訴訟、広範な消費者の反発、および多額の修復費用に直面しています。
規制上の影響
グローバルなエンターテインメントプラットフォームとして、Ticketmasterは複雑な規制環境に直面しています:
- 不公正または欺瞞的な慣行の可能性についてのFTC調査
- 複数の欧州管轄区域でのGDPR調査
- 支払いカード業界データセキュリティ基準(PCI DSS)コンプライアンス違反
- カリフォルニア州でのCCPA執行措置
- カナダ、オーストラリア、英国、欧州連合での国際調査
ランサムウェアの要求と対応
BlackBastaグループは、復号キーとデータ公開の防止のために50万ドルを要求しました。Ticketmasterは支払いを拒否しました。ランサムウェアの展開は運用に最小限の影響しか与えず、データ流出はすでに発生していたためです。攻撃者はその後、2024年7月4日に盗まれたデータの一部をリークサイトに公開しました。
8.7
リスクスコア
6.8
サプライチェーンへの影響
8.2
攻撃ベクトルの高度化
Ticketmaster Entertainmentの詳細な計算
| 要因 | リスクスコア | 重み | 加重スコア |
|---|---|---|---|
| 公開された記録数 (560M) | 9.5 | 15% | 1.43 |
| 財務影響 ($94.64B) | 9.8 | 20% | 1.96 |
| データの機密性 (Payment card info, personal info) | 8.0 | 20% | 1.60 |
| 規制コンプライアンス (FTC, GDPR, PCI DSS) | 8.5 | 15% | 1.28 |
| ランサムウェアの関与 (Attempted, not paid) | 6.5 | 10% | 0.65 |
| サプライチェーンへの影響 | 6.8 | 10% | 0.68 |
| 攻撃ベクトルの高度化 | 8.2 | 10% | 0.82 |
| 最終リスクスコア | 8.70 | ||
4. AT&T – リスクスコア: 8.5
インシデントの説明とタイムライン
2024年4月1日に開示されたAT&Tのデータ侵害は、通信大手の現役および元顧客1億1000万人に影響を与えました。多くの侵害が外部の脅威アクターを伴うのとは異なり、このインシデントは、2年間(2022年3月から2024年3月)にわたって顧客データを露出させた安全でないクラウドストレージ構成に起因しています。この露出は、セキュリティ研究者のAnurag Senによって発見され、2024年3月27日にAT&Tに通知されました。同社は24時間以内にデータを保護し、4月8日に顧客への通知を開始しました。13
攻撃ベクトルと手法
この侵害は、適切なアクセス制御なしに顧客データエクスポートを含む誤設定されたAmazon S3バケットから生じました。調査により、露出期間中にさまざまなIPアドレスによって少なくとも73回アクセスされ、少なくとも7つの異なるアクターによる体系的なデータ収集の証拠が明らかになりました。この誤設定は、クラウド移行プロジェクト中に、開発環境がセキュリティ検証なしに誤って本番環境に昇格された際に発生しました。
公開された記録数: 1億1000万
公開された記録には、2010年に遡る現役加入者(5800万人)と元顧客(5200万人)のデータが含まれていました。AT&Tが米国最大の通信プロバイダーの一つであることを考えると、この露出の広がりは特に重要です。
侵害されたデータの種類
- フルネームと住所
- 電話番号とアカウント番号
- 社会保障番号(約8600万人分)
- 通話記録とテキストパターン(メタデータのみ、コンテンツは含まれない)
- サービスプラン情報
- デバイス識別情報
- アカウントPIN(約3200万アカウント分)
推定財務影響: 185億9000万ドル
この計算には、通知、クレジット監視サービス(影響を受けたすべての個人に5年間提供)、インシデント調査、法的手続きの直接費用が含まれています。AT&Tはすでに侵害関連費用のために12億ドルの準備金を設立しています。この見積もりには、規制罰金、予想される顧客離れ(通常の率を4.2%上回ると予測)、およびブランドへの評判の損失も考慮されています。
規制上の影響
この侵害は、複数の規制要件を引き起こしました:
- 通信プライバシー規制の下でのFCC調査
- 全50州での州通知法
- 37州の州検事総長によるマルチステートアクションの一環としての調査
- データセット内の欧州居住者に対するGDPRの影響
- 重大なサイバーセキュリティインシデントに関するSECの開示要件
ランサムウェアの要求と対応
なし
8.5
リスクスコア
5.4
サプライチェーンへの影響
6.5
攻撃ベクトルの高度化
AT&Tの詳細な計算
| 要因 | リスクスコア | 重み | 加重スコア |
|---|---|---|---|
| 公開された記録数 (110M) | 9.0 | 15% | 1.35 |
| 財務的影響 ($18.59B) | 9.0 | 20% | 1.80 |
| データの機密性 (SSN、アカウントPIN) | 9.0 | 20% | 1.80 |
| 規制コンプライアンス (FCC、50州法) | 9.0 | 15% | 1.35 |
| ランサムウェアの関与 (なし) | 0.0 | 10% | 0.00 |
| サプライチェーンへの影響 | 5.4 | 10% | 0.54 |
| 攻撃ベクトルの洗練度 | 6.5 | 10% | 0.65 |
| 最終リスクスコア | 8.50 | ||
5. ホットトピック – リスクスコア: 7.7
インシデントの説明とタイムライン
ポップカルチャーと音楽商品に特化した小売業者であるホットトピックは、2024年5月22日にeコマースプラットフォームに影響を与えるデータ侵害を公表しました。顧客が不正取引を報告した後、調査が行われ、2024年2月8日から同社のウェブサイトで高度なスキミングスクリプトが稼働していたことが判明しました。この悪意のあるコードは、チェックアウトプロセス中に顧客の支払い情報と個人情報を取得しました。14
攻撃ベクトルと手法
この侵害は、ホットトピックのeコマースプラットフォームで使用されていたサードパーティのJavaScriptライブラリを攻撃者が侵害したウェブスキミング(Magecart)攻撃を含んでいました。悪意のあるスクリプトは、支払い処理ページに注入され、攻撃者が制御するサーバーにデータを流出させるように設定されていました。特に洗練された実装は、日常的なセキュリティスキャンを回避し、正当な分析トラフィックパターンを模倣する難読化技術を使用していました。
公開された記録数: 56.9百万
侵害された記録には、スキミングコードがアクティブだった103日間に購入を行ったeコマース顧客が含まれており、北米、英国、オーストラリアの顧客に影響を与えました。
侵害されたデータの種類
- フルネームと請求先住所
- メールアドレスと電話番号
- 完全な支払いカードの詳細(番号、有効期限、CVV)
- アカウントの認証情報(ユーザー名とパスワード)
- 購入履歴
- 配送先住所
- 注文確認番号
- メンバー向けのロイヤルティプログラム情報
推定財務的影響: $9.62億
この推定には、直接的な侵害コスト(調査、通知、クレジットモニタリング)、予想されるクレジットカード詐欺の損失、規制上の罰金、ホットトピックの主要な技術に精通した若年層の消費者層における重大な評判の損害が含まれています。侵害の公表後、消費者の信頼が急落し、同社のeコマース収益は四半期で34%減少しました。ホットトピックは、侵害関連の費用に対して4200万ドルの準備金を設け、28件以上の集団訴訟に直面しています。
規制上の影響
この侵害は、さまざまな規制要件を引き起こしました:
- PCI DSS(Payment Card Industry Data Security Standard)コンプライアンス違反
- 不公正または欺瞞的な取引慣行の可能性に関するFTC調査
- カリフォルニア州が主導する複数州の司法長官による調査
- 英国(英国GDPRの下)およびオーストラリアでの国際的な規制監視
- さまざまな州のデータ侵害通知法
ランサムウェアの関与
証拠なし
7.7
リスクスコア
8.2
サプライチェーンへの影響
7.8
攻撃ベクトルの洗練度
ホットトピックの詳細な計算
| 要因 | リスクスコア | 重み | 加重スコア |
|---|---|---|---|
| 公開された記録数 (56.9M) | 8.0 | 15% | 1.20 |
| 財務的影響 ($9.62B) | 8.5 | 20% | 1.70 |
| データの機密性 (支払いカードの詳細) | 8.5 | 20% | 1.70 |
| 規制コンプライアンス (PCI DSS、FTC) | 7.5 | 15% | 1.13 |
| ランサムウェアの関与 (なし) | 0.0 | 10% | 0.00 |
| サプライチェーンへの影響 | 8.2 | 10% | 0.82 |
| 攻撃ベクトルの洗練度 | 7.8 | 10% | 0.78 |
| 最終リスクスコア | 7.70 | ||
6. LoanDepot – リスクスコア: 7.6
インシデントの説明とタイムライン
LoanDepotは、米国最大の非銀行系住宅ローン貸付業者の一つであり、2024年1月8日にランサムウェア攻撃の被害を受けました。同社は数時間以内に攻撃を検知しましたが、重要なシステムの暗号化を防ぐことができず、重大な業務の中断とデータの流出を引き起こしました。LoanDepotは翌日にインシデントを発表し、1月26日にフォレンジック調査が暗号化攻撃と共にデータの盗難が発生したことを確認した後、顧客への通知を開始しました。15
攻撃ベクトルと手法
BlackSuitランサムウェアグループは、BlackMatterオペレーションの後継者として知られ、攻撃の責任を主張しました。初期アクセスは、LoanDepotの従業員を標的としたフィッシングキャンペーンを通じて、悪意のある文書をインストールする商用リモートアクセスツール(Cobalt Strike)を使用して達成されました。攻撃者はその後、48時間の間にネットワークを横断し、ローン処理システム、文書ストレージ、顧客ポータルを暗号化するランサムウェアを展開しました。
公開された記録数: 16.9百万
侵害された記録には、住宅ローンおよび個人ローンの顧客を含む、ほぼ10年間にわたる貸付業務の現在および過去の顧客データが含まれていました。
侵害されたデータの種類
- フルネーム、住所、連絡先情報
- 社会保障番号
- 金融口座情報
- 収入証明書
- 税務申告書
- 不動産評価書類
- クレジットレポートとスコア
- 詳細な財務情報を含むローン申請書類
推定財務的影響: $2.86億
この推定には、直接的な侵害コスト、18日間のシステム停止中の業務損失、および重大な修復費用が含まれています。LoanDepotは、2024年第1四半期の収益報告で、インシデントが同社に直接費用として6340万ドルをもたらし、年間を通じて追加の費用が予想されると報告しました。同社はまた、停止期間中に新規ローンの発行が22%減少しました。
規制上の影響
金融機関として、LoanDepotは厳しい規制監視に直面しています:
- 消費者金融保護局の調査
- 複数の管轄区域での州金融規制当局の調査
- 重大なサイバーセキュリティインシデントに関するSECの開示要件
- グラム・リーチ・ブライリー法の下でのコンプライアンス義務
- 州のデータ侵害通知要件
ランサムウェアの要求と対応
BlackSuitグループは、最初に復号化ツールとデータ公開を防ぐために1000万ドルを要求しました。交渉の後、LoanDepotは支払いを検討しましたが、最終的には身代金を支払いませんでした。同社は代わりにバックアップシステムと手動プロセスに依存し、2024年1月26日に完全な業務が回復しました。
7.6
リスクスコア
4.2
サプライチェーンへの影響
7.1
攻撃ベクトルの洗練度
LoanDepotの詳細な計算
| 要因 | リスクスコア | 重み | 加重スコア |
|---|---|---|---|
| 公開された記録数 (16.9M) | 7.0 | 15% | 1.05 |
| 財務的影響 ($2.86B) | 7.5 | 20% | 1.50 |
| データの機密性 (金融文書、税務申告書) | 9.5 | 20% | 1.90 |
| 規制コンプライアンス (CFPB、GLBA) | 8.0 | 15% | 1.20 |
| ランサムウェアの関与 (あり、$10M要求) | 8.5 | 10% | 0.85 |
| サプライチェーンへの影響 | 4.2 | 10% | 0.42 |
| 攻撃ベクトルの洗練度 | 7.1 | 10% | 0.71 |
| 最終リスクスコア | 7.60 | ||
7. Kaiser Foundation Health Plan – リスクスコア: 7.6
インシデントの説明とタイムライン
Kaiser Permanenteは、米国最大の医療提供者および保険会社の一つであり、2024年4月15日に1340万人の患者およびメンバーに影響を与えるデータ侵害を公表しました。この侵害は、サードパーティベンダーが管理する患者請求システムへの不正な第三者アクセスから発生しました。Kaiserは2024年3月26日に異常な活動を検出し、4月5日に保護された健康情報が侵害されたことを確認しました。16
攻撃ベクトルと手法
この侵害は、Kaiserの請求サービスベンダーの従業員に属する管理者の認証情報が侵害されたことから発生しました。脅威アクターは、従業員のアカウントにアクセスするために高度なソーシャルエンジニアリング技術を使用し、MFA疲労攻撃を通じて多要素認証を回避しました。ターゲットは認証要求で爆撃され、誤って1つを承認しました。システム内に入ると、攻撃者は約18日間アクセスを維持し、体系的に患者の請求記録を抽出しました。
公開された記録数: 13.4百万
侵害された記録には、カリフォルニア、コロラド、ジョージア、ハワイ、メリーランド、オレゴン、バージニア、ワシントン、コロンビア特別区でのKaiser Permanenteの業務における患者および健康保険メンバーが含まれていました。
侵害されたデータの種類
- フルネームと連絡先情報
- 医療記録番号
- 医療提供者情報
- サービス日と治療タイプ
- 診断および手続きコード
- 健康保険情報
- 約180万人の個人に対する社会保障番号
- 約420万人の個人に対する支払い方法情報
推定財務的影響: $2.26億
この計算には、直接的な侵害対応コスト、通知費用、クレジットモニタリングサービス、規制上の罰金、および予想される訴訟費用が含まれています。Kaiserは専用のコールセンターを設立し、影響を受けた個人に2年間のクレジットモニタリングを提供しました。この推定には、評判の損害と患者の離脱も含まれていますが、メンバーがプロバイダーを切り替える際の障壁があるKaiserの統合モデルによってこれらの影響は軽減されています。
規制上の影響
HIPAAの下での対象事業体として、Kaiserは重大な規制監視に直面しています:
- HIPAA違反の可能性に関するHHS市民権局の調査
- 影響を受けた9州での州司法長官の調査
- さまざまな州のプライバシー法に基づく潜在的な集団訴訟
- カリフォルニア医療情報の機密性に関する法律に基づくカリフォルニア特有の規制措置
ランサムウェアの関与
なし
7.6
リスクスコア
7.8
サプライチェーンへの影響
6.9
攻撃ベクトルの洗練度
Kaiser Foundation Health Planの詳細な計算
| 要因 | リスクスコア | 重み | 加重スコア |
|---|---|---|---|
| 公開された記録数 (13.4M) | 7.0 | 15% | 1.05 |
| 財務的影響 ($2.26B) | 7.0 | 20% | 1.40 |
| データの機密性 (PHI、SSN) | 9.5 | 20% | 1.90 |
| 規制コンプライアンス (HIPAA、州法) | 8.0 | 15% | 1.20 |
| ランサムウェアの関与 (なし) | 0.0 | 10% | 0.00 |
| サプライチェーンへの影響 | 7.8 | 10% | 0.78 |
| 攻撃ベクトルの洗練度 | 6.9 | 10% | 0.69 |
| 最終リスクスコア | 7.60 | ||
8. Dell Technologies – リスクスコア: 7.2
インシデントの説明とタイムライン
Dell Technologiesは、2024年9月18日にB2B顧客データベースに影響を与えるデータ侵害を公表しました。この侵害は、Dellの企業顧客関係管理システムへの不正アクセスを特定した定期的なセキュリティ監査中に発見されました。調査により、侵害は2024年7月24日に始まり、約6週間にわたり未検出のままであったことが判明しました。Dellは、予備調査を完了した後、2024年9月25日に顧客への通知を開始しました。17
攻撃ベクトルと手法
この侵害は、企業顧客システムへのアクセスを持つDellの営業幹部を標的とした高度なスピアフィッシングキャンペーンの結果として発生しました。攻撃者は正規のDell技術パートナーを装い、非常に説得力のある通信を作成して認証情報を盗みました。Dellのシステム内に侵入した後、攻撃者はネットワークを慎重に移動し、広範なアクセスを試みるのではなく、特に企業顧客データベースに焦点を当てていました。これは、機会的なデータ窃盗ではなく、標的を絞った企業スパイ活動を示唆しています。
露出した記録数: 4,900万件
侵害された記録には、Dellのグローバル企業顧客データベースが含まれており、137か国の組織に影響を与えました。この侵害は主に個々の消費者ではなく、ビジネスエンティティに影響を与えましたが、ビジネス代表者の連絡先情報がデータセットに含まれていました。
侵害されたデータの種類
- ビジネス連絡先情報(名前、メールアドレス、電話番号)
- 会社の詳細(規模、業界、所在地)
- 購入履歴と製品インストール
- サービスおよびサポート契約
- アカウントマネージャーの割り当て
- 販売パイプライン情報
- 約370万件の記録については、契約価格情報
- 約75万件の記録については、ネットワークインフラの詳細
推定財務影響: 82.8億ドル
この数字は、直接的な侵害コスト、露出した価格およびパイプライン情報からの競争上の不利、そして潜在的な規制罰金を考慮しています。Dellは、侵害後の企業市場で大きな課題に直面しており、競合他社が機密の価格戦略や顧客関係の詳細にアクセスできるようになりました。同社の企業営業部門は、侵害公表後の四半期に新規契約が12%減少したと報告しています。
規制上の影響
グローバルな技術プロバイダーとして、Dellは複雑な規制環境に直面しています:
- 重大なサイバーセキュリティインシデントに関するSEC開示要件
- 複数のヨーロッパ管轄区域でのGDPR調査
- 影響を受けた137か国におけるさまざまな国際データ保護規制
- 企業顧客契約に基づく契約違反通知が必要
- 政府および医療クライアント向けの業界固有の規制
ランサムウェアの関与
いいえ
7.2
リスクスコア
5.9
サプライチェーンへの影響
7.4
攻撃ベクトルの高度化
Dell Technologiesの詳細な計算
| 要因 | リスクスコア | 重み | 加重スコア |
|---|---|---|---|
| 露出した記録数 (49M) | 7.8 | 15% | 1.17 |
| 財務影響 ($8.28B) | 8.0 | 20% | 1.60 |
| データの機密性 (ビジネスデータ、価格情報) | 6.5 | 20% | 1.30 |
| 規制コンプライアンス (SEC, GDPR) | 7.5 | 15% | 1.13 |
| ランサムウェアの関与 (いいえ) | 0.0 | 10% | 0.00 |
| サプライチェーンへの影響 | 5.9 | 10% | 0.59 |
| 攻撃ベクトルの高度化 | 7.4 | 10% | 0.74 |
| 最終リスクスコア | 7.20 | ||
9. DemandScience by Pure Incubation – リスクスコア: 7.1
インシデントの説明とタイムライン
DemandScienceは、B2B需要生成および意図データプロバイダーであり、2024年2月28日にデータ侵害を公表しました。これは、セキュリティ研究者が犯罪フォーラムで販売されている大規模なデータセットを特定した後のことです。調査により、侵害は2023年11月から2024年1月の間に発生し、攻撃者が同社の顧客関係管理システムの未修正の脆弱性を悪用したことが判明しました。このインシデントは特に重要であり、DemandScienceはマーケティング目的で複数のソースからビジネスプロフェッショナルデータを集約しています。18
攻撃ベクトルと手法
この侵害は、最新のセキュリティパッチが適用されていないレガシーWebアプリケーションのSQLインジェクション脆弱性から発生しました。システム内に侵入した後、攻撃者は盗まれた認証情報を使用して主要なマーケティングデータベースにアクセスし、約10週間にわたってデータをバッチで流出させました。検出システムは、同社のSIEMソリューションの設定エラーにより、異常なデータアクセスパターンを特定できませんでした。
露出した記録数: 1億2,280万件
侵害された記録には、DemandScienceがさまざまなソースから収集したビジネスプロフェッショナルプロファイルが含まれており、自社のマーケティング活動、第三者データプロバイダー、ビジネスインテリジェンスプラットフォームが含まれます。重複排除後、侵害は約8,200万人のユニークな個人に影響を与えました。
侵害されたデータの種類
- ビジネスメールアドレスと電話番号
- フルネームと職位
- 雇用履歴と会社情報
- LinkedInおよびその他のソーシャルメディアプロファイル情報
- ビジネスコミュニケーションの好み
- 約120万件の記録については、個人の連絡先情報
推定財務影響: 207.5億ドル
この数字は、直接的な侵害費用、規制罰金、および主要なビジネス資産である独自のデータベースが侵害されたDemandScienceにとっての重大なビジネス影響を考慮しています。同社は侵害公表後に複数の主要クライアントを失い、ビジネスパートナーとの信頼を再構築する上で大きな課題に直面しています。
規制上の影響
B2Bに焦点を当てているにもかかわらず、この侵害はさまざまな規制要件を引き起こしました:
- データセット内のヨーロッパのビジネスプロフェッショナルに対するGDPR違反
- カリフォルニア州住民に対するCCPAの影響
- CAN-SPAMおよびメールマーケティング規制のコンプライアンス問題
- カナダのPIPEDA違反
- さまざまな州のデータ侵害通知要件
ランサムウェアの関与
いいえ
7.1
リスクスコア
6.9
サプライチェーンへの影響
5.4
攻撃ベクトルの高度化
DemandScience by Pure Incubationの詳細な計算
| 要因 | リスクスコア | 重み | 加重スコア |
|---|---|---|---|
| 露出した記録数 (122.8M) | 8.5 | 15% | 1.28 |
| 財務影響 ($20.75B) | 8.5 | 20% | 1.70 |
| データの機密性 (ビジネスデータ、マーケティングデータ) | 6.0 | 20% | 1.20 |
| 規制コンプライアンス (GDPR, CCPA) | 6.5 | 15% | 0.98 |
| ランサムウェアの関与 (いいえ) | 0.0 | 10% | 0.00 |
| サプライチェーンへの影響 | 6.9 | 10% | 0.69 |
| 攻撃ベクトルの高度化 | 5.4 | 10% | 0.54 |
| 最終リスクスコア | 7.14 | ||
10. MC2 Data – リスクスコア: 6.9
インシデントの説明とタイムライン
MC2 Dataは、小売および金融サービスクライアント向けの消費者行動モデリングを専門とするデータ分析会社であり、2024年7月8日にデータ侵害を公表しました。この侵害は、セキュリティ研究者のTroy HuntがダークウェブフォーラムでMC2 Dataに帰属する大規模なデータセットを特定した後に発見されました。同社の調査により、侵害は2024年5月12日から6月27日の間に、侵害された開発者アカウントを通じて発生したことが判明しました。19
攻撃ベクトルと手法
攻撃者は、複数のサービスで同じパスワードを再利用していたMC2の開発者を狙ったクレデンシャルスタッフィングを通じて初期アクセスを得ました。これには、独自の侵害を経験した第三者サイトも含まれていました。開発環境内に侵入した後、攻撃者はプロダクションデータへのアクセスを提供するハードコードされたAPI認証情報を発見しました。その後、カスタムの流出ツールを使用して、同社のデータレイクから情報を徐々に抽出し、検出システムを回避しました。
露出した記録数: 1億件
侵害されたデータセットには、MC2 Dataが予測分析およびマーケティング目的で収集および処理した消費者プロファイルが含まれており、米国およびカナダの個人に影響を与えました。
侵害されたデータの種類
- フルネームと連絡先情報
- 購入履歴と好み
- 行動スコアとマーケティングセグメント
- 収入階層と信用スコア範囲
- 推定住宅価値
- 家族構成データ
- ソーシャルメディア識別子
- 約430万件の記録については、部分的な金融アカウント情報
推定財務影響: 169億ドル
この数字は、直接的な侵害コスト、MC2のクライアント(Fortune 50企業3社を含む)との契約上の罰金、および侵害後に複数の主要クライアントが関係を解消したことによる重大なビジネス影響を考慮しています。同社の評価額は公表後の月に38%減少し、数多くの集団訴訟に直面しています。
規制上の影響
この侵害は、多数の規制要件を引き起こしました:
- データセキュリティに関連する欺瞞的なビジネス慣行に対するFTC調査
- カリフォルニア州でのCCPA執行措置
- さまざまな州のデータ侵害通知法
- カナダのPIPEDAコンプライアンス問題
- データセット内のヨーロッパ居住者に対する潜在的なGDPRの影響
ランサムウェアの関与
いいえ
6.9
リスクスコア
5.2
サプライチェーンへの影響
5.7
攻撃ベクトルの高度化
MC2 Dataの詳細な計算
| 要因 | リスクスコア | 重み | 加重スコア |
|---|---|---|---|
| 露出した記録数 (100M) | 8.5 | 15% | 1.28 |
| 財務影響 ($16.9B) | 8.5 | 20% | 1.70 |
| データの機密性 (マーケティングデータ、行動データ) | 6.0 | 20% | 1.20 |
| 規制コンプライアンス (FTC, CCPA) | 6.5 | 15% | 0.98 |
| ランサムウェアの関与 (いいえ) | 0.0 | 10% | 0.00 |
| サプライチェーンへの影響 | 5.2 | 10% | 0.52 |
| 攻撃ベクトルの高度化 | 5.7 | 10% | 0.57 |
| 最終リスクスコア | 6.90 | ||
11. 米国環境保護庁 – リスクスコア: 6.2
インシデントの説明とタイムライン
米国環境保護庁(EPA)は、2024年11月8日にデータ侵害を公表しました。これは、州、部族、領土のパートナーと環境データを収集および共有するために使用される環境情報交換ネットワークに影響を与えました。この侵害は、2024年10月22日にインフラストラクチャのアップグレード中に発見され、2024年8月3日に遡る不正アクセスが特定されました。EPAは11月8日に事件を公に認め、11月15日に影響を受けた個人への通知を開始しました。20
攻撃ベクトルと手法
この侵害は、Exchange Networkの認証システムの脆弱なレガシーコンポーネントの悪用から発生しました。EPAとサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の調査により、戦術とターゲティングパターンに基づいて国家支援の可能性がある脅威アクターが、認証制御をバイパスするために未修正の脆弱性(CVE-2024-22103)を悪用したことが判明しました。システム内に侵入した後、彼らは環境データリポジトリと従業員情報にアクセスしました。
露出した記録数: 846万件
侵害された記録には、環境モニタリングデータ、契約者および従業員情報、および特定の公開助成金申請の詳細が含まれていました。このレポートの他の侵害に比べて記録数は少ないですが、特定の環境データの機密性と侵害の連邦性がその重要性を高めています。
侵害されたデータの種類
- EPA従業員および契約者の個人情報
- 敏感な場所からの環境モニタリングデータ
- 特定の環境モニタリングステーションの重要なインフラの詳細
- 申請者の詳細を含む助成金申請情報
- 規制対象エンティティからの環境コンプライアンスデータ
- 約65万件の記録については、EPA従業員および契約者の社会保障番号
推定財務影響: 14.3億ドル
この推定値は、主に事件調査、修復、通知、およびセキュリティ改善に関連するコストを反映しており、EPAの政府機関としての地位を考慮した直接的な市場影響ではありません。この数字には、事件後に義務付けられた大規模なシステムアップグレードコストと、調査中に一時的に停止された環境報告機能からの運用影響が含まれています。
規制上の影響
連邦機関として、EPAは特定の規制要件に直面しています:
- 連邦情報セキュリティ近代化法(FISMA)コンプライアンスレビュー
- 議会の監督聴聞会と調査
- 管理予算局(OMB)の事件報告要件
- 個人情報記録の侵害に対するプライバシー法違反
- 連邦労働力外の影響を受けた個人に対する州の通知法
ランサムウェアの関与
いいえ
6.2
リスクスコア
4.2
サプライチェーンへの影響
6.8
攻撃ベクトルの高度化
米国環境保護庁の詳細な計算
| 要因 | リスクスコア | 重み | 加重スコア |
|---|---|---|---|
| 露出した記録数 (8.46M) | 6.0 | 15% | 0.90 |
| 財務影響 ($1.43B) | 6.0 | 20% | 1.20 |
| データの機密性 (従業員PII、環境データ) | 6.5 | 20% | 1.30 |
| 規制コンプライアンス (FISMA, プライバシー法) | 7.0 | 15% | 1.05 |
| ランサムウェアの関与 (いいえ) | 0.0 | 10% | 0.00 |
| サプライチェーンへの影響 | 4.2 | 10% | 0.42 |
| 攻撃ベクトルの高度化 | 6.8 | 10% | 0.68 |
| 最終リスクスコア | 6.20 | ||
主要なトレンドと知見
ランサムウェアのデータ侵害における進化する役割
ランサムウェアは依然として重要な脅威ベクトルとして進化を続けており、上位11件の侵害のうち3件(Change Healthcare、Ticketmaster、LoanDepot)がランサムウェアの要素を含んでいます。しかし、これらの攻撃の性質は過去の年と比較して大きく変化しています。データの流出は現在、ランサムウェアの運用における標準的な要素となっており、被害者が運用の中断とデータの露出という二重の脅威に直面するデュアルエクストーションモデルを生み出しています。
Change Healthcareの攻撃は、重要なインフラを標的とした場合のランサムウェアの壊滅的な可能性を示しており、医療エコシステム全体に波及効果をもたらしました。2200万ドルの身代金の支払いは多額ですが、推定総影響額321億ドルの一部に過ぎず、支払いが緩和策として有効かどうか疑問を投げかけています。復号キーを受け取ったにもかかわらず、UnitedHealth Groupは数ヶ月にわたる復旧作業に直面しました。
興味深いことに、Ticketmasterは50万ドルの身代金要求を拒否した結果、データが公開されましたが、運用への影響は最小限にとどまりました。これは、セキュリティコントロールが広範な暗号化を防ぐことに成功したためです。これにより、ランサムウェア防御戦略の分岐が進んでいることが浮き彫りになりました。組織は、復号のための支払いを避けるための運用の回復力と、流出リスクを減少させるためのデータ保護の両方に備える必要があります。
LoanDepotのケースは、身代金要求が迅速な復旧を保証しないことをさらに証明しており、同社は身代金の脅威を受けたにもかかわらず、18日間の停止を経験しました。我々の分析は、組織が潜在的な身代金支払いのための資金を確保するのではなく、予防、セグメンテーション、復旧能力に投資を集中すべきであることを示唆しています。
データ露出分析の規模
2024年における前例のないデータ露出の規模は、従来のデータセキュリティアプローチに対する根本的な疑問を提起しています。National Public Dataの侵害(29億件の記録)とTicketmasterの侵害(5億6000万件の記録)は、世界の人口の大部分に影響を与える「メガ侵害」を表しています。National Public Dataの侵害だけでも、世界の人口の約15%に相当する機密情報が露出した可能性があります。
これらのメガ侵害は、大規模なデータ集約の固有のリスクを明らかにしており、特にデータブローカーや分析会社のビジネスモデルが膨大なデータセットの収集と処理に依存している場合に顕著です。National Public Dataの侵害は、データ集約が単一のセキュリティ障害で世界的な影響をもたらす集中リスクポイントをどのように作り出すかを示しています。
National Public Dataの侵害は、世界の人口の15%に相当する記録を露出し、大規模なデータ集約が集中リスクポイントを作り出し、世界的な影響をもたらす可能性があることを証明しました。
これらの数字の背後にある真の影響は、しばしば生の記録数よりもデータの機密性に依存します。LoanDepotの侵害は、1690万件の記録と小規模ながらも、税申告書や所得証明を含む非常に機密性の高い財務書類を露出し、影響を受けた個人にとって重大なリスクを生み出しました。逆に、より大規模な侵害の中には、マーケティングの好みや基本的な連絡先情報など、あまり機密性の高くない情報を主に露出したものもあります。
我々の分析は、消費者の侵害影響に対する認識(通常は記録数に焦点を当てる)と実際のリスク要因(データの機密性と悪用の可能性に大きく影響される)との間に広がる乖離を示しています。組織は、全体のデータ保有量の中で小さな部分を占める場合でも、最も機密性の高いデータリポジトリにセキュリティリソースを集中させるべきです。
業界の脆弱性分析
2024年の侵害状況は、業界のターゲティングパターンにおいて大きな変化を示しており、金融サービスが主要な侵害の中で最も影響を受けたセクターとして医療を上回りました。この変化は、脅威アクターの進化する優先順位を反映しており、金融データが即時の収益化の可能性を持つため、ますます標的にされています。
金融サービスセクターは、上位11件の侵害のうち3件(National Public Data、LoanDepot、MC2 Data)を占めており、金融情報の高い価値とセクターのデジタルトランスフォーメーションの課題を反映しています。レガシーシステムの統合、クラウド移行、フィンテックパートナーシップはすべて、金融機関の攻撃面を拡大させています。
Change Healthcareの侵害は、単一のベンダーへの攻撃が業界全体を麻痺させることを示し、サプライチェーンセキュリティの重要性を浮き彫りにしました。
医療は依然として高いターゲットとなっており、Change Healthcareの侵害はここ数年で最も破壊的な医療インシデントを表しています。この侵害のユニークな側面は、単一の組織ではなく医療エコシステム全体に影響を与えたことであり、このセクターにおけるサプライチェーンセキュリティの重要性が増していることを示しています。Kaiser Permanenteのサードパーティベンダーの侵害は、この懸念をさらに強化しています。
小売業の侵害は、Hot TopicのMagecart攻撃に代表され、特にサードパーティのコード統合を通じて、eコマースプラットフォームに対する脅威が続いていることを示しています。小売セクターは、急速に進化するデジタルコマース環境でのセキュリティと顧客体験のバランスを取る上で、独自の課題に直面しています。
政府機関は、EPAの侵害に代表され、直接的な利益動機がない組織であっても、機密データや潜在的なインテリジェンス価値に興味を持つ高度な脅威アクターのターゲットとなることを示しています。
サードパーティおよびサプライチェーンリスク評価
サプライチェーンとサードパーティのリスクは、2024年の主要な侵害において支配的なテーマとして浮上しました。Change Healthcareの侵害は、このリスクカテゴリーを最もよく例示しており、攻撃はUnitedHealth Groupだけでなく、同社の請求処理インフラに依存する全国の数千の医療提供者に影響を与えました。
我々の分析は、侵害間でのサプライチェーン影響スコアに大きな変動があることを明らかにしました。LoanDepotとEPAは4.2から、Change Healthcareは「完璧な」10.0までの範囲です。この変動は、現代の組織が運営するデジタルエコシステムの複雑さと、重要なサービスプロバイダーが侵害された場合の不均衡な影響を反映しています。
Change Healthcareの侵害の波及効果には以下が含まれます:
- 全国の医療提供者のキャッシュフローの混乱
- 検証の課題による患者ケアの遅延
- 薬剤アクセスに影響を与える薬局処理の中断
- 技術的な復旧後も数ヶ月続く管理上のバックログ
サードパーティリスク管理は2024年において最も成熟していないセキュリティドメインであり、脅威アクターがますます標的とする体系的な脆弱性を生み出しています。
この侵害は、サプライチェーンの依存関係がどのようにして力の乗数効果を生み出し、影響が直接的に侵害された組織を超えて広がるかを示しています。最初の2200万ドルの身代金の支払いは、総エコシステム影響の数十億ドルに比べて微々たるものであり、サプライチェーン侵害の増幅効果を浮き彫りにしています。21
サプライチェーン影響スコアが高い他の侵害には、National Public Data(8.5)とHot Topic(8.2)が含まれます。National Public Dataの集約ビジネスモデルは、数千の下流データ消費者に影響を与える単一の障害点を作り出し、Hot TopicのMagecart攻撃はサードパーティのJavaScriptライブラリを介して多くの接続された小売パートナーと支払い処理業者に影響を与えました。
対照的に、AT&T(5.4)やMC2 Data(5.2)のようにサプライチェーン影響スコアが低い侵害は、主に直接の顧客に影響を与え、広範なエコシステムの混乱を引き起こすことはありませんでした。EPAの侵害(4.2)は、比較的限定的に機関のシステム内に留まり、接続された組織への波及効果は限られていました。
我々の分析は、サードパーティリスク管理プログラムがこれらの関係の動的な性質に対処することがしばしばできていないことを示しています。組織は、ポイントインタイムの評価ではなく、重要なベンダーのセキュリティ姿勢に対する継続的な監視能力とリアルタイムの可視性を必要としています。契約のセキュリティ要件はしばしば十分な具体性や実施メカニズムを欠いており、インシデント対応計画は複雑なマルチパーティシナリオを考慮することがほとんどありません。
組織は、セキュリティの境界がデジタルサプライチェーン全体を包含するように拡大していることを認識しなければなりません。このチェーンの各リンクのセキュリティが集団的な回復力に寄与し、最も弱い接続が全体のセキュリティ姿勢を決定することがよくあります。厳格なベンダー評価、継続的な監視、検証されたセキュリティ要件は、コンプライアンスのチェックボックスではなく、標準的な実践となる必要があります。
サードパーティリスク管理プログラムの成熟度は他のセキュリティドメインに比べて大幅に遅れており、脅威アクターがますます悪用する体系的な脆弱性を生み出しています。組織は、これらのプログラムをコンプライアンス指向のフレームワークから、運用依存関係とデータアクセスパターンを考慮したリスクベースのアプローチに進化させる必要があります。
攻撃ベクトル分析
上位11件の侵害の分析は、セキュリティリーダーが防御戦略で優先すべきいくつかの主要な攻撃ベクトルを明らかにしており、攻撃ベクトルの洗練度スコアには、DemandScienceの5.4からNational Public Dataの8.4までの大きな変動があります。
認証情報に基づく攻撃は、11件の主要な侵害のうち5件で初期ベクトルとなり、高度なセキュリティコントロールがあっても攻撃者が人間の要素を悪用し続けていることを示しています。
最も洗練された攻撃は、複数の高度な特性を示しています:
- 高度な持続性と回避技術は、National Public Dataの侵害(8.4)で明らかであり、攻撃者は検出システムを回避するために特別に設計された「低速かつ慎重な」API悪用方法を実装しました。分散インフラを使用して抽出活動を隠蔽し、これらの攻撃者は9ヶ月間検出されずに数十億の記録を体系的に抽出しました。この侵害は、脅威アクターがスピードよりもステルスを優先し、拡張されたアクセスがはるかに価値のあるデータをもたらすことを理解していることを示しています。
- ゼロデイの悪用は、Ticketmasterの侵害(8.2)で顕著であり、攻撃者は支払いAPIの以前は知られていなかった脆弱性を利用しました。この攻撃は、このゼロデイを高度な回避技術と特定の高価値システムに焦点を当てた高度な行動と組み合わせました。この精密なターゲティングは、脅威アクターがターゲットの最も価値のある資産を理解するために広範な偵察を行う攻撃手法の進化を表しています。
- ソーシャルエンジニアリングの進化は、Dell Technologies(7.4)のような侵害で示され、正当なパートナーを装った高度なスピアフィッシングキャンペーンが関与し、Kaiser Foundation Health Plan(6.9)では、攻撃者がMFA疲労技術を使用して認証コントロールを回避しました。これらのソーシャル攻撃は、一般的なフィッシングメールをはるかに超えて進化しており、説得力のあるなりすまし、心理的操作、高度な認証システムの技術的回避を特徴としています。
Change Healthcareの侵害は、パッチリリースから16日後に脆弱性を悪用し、組織が重要な更新を実施するための時間枠が急速に縮小していることを示しています。
対照的に、洗練度スコアが低い侵害でも、より単純なベクトルを通じて重大な影響を与えました
- 認証情報に基づく攻撃は、最も一般的な初期アクセスベクトルであり、11件の主要な侵害のうち5件で見られました。これらは、洗練されたフィッシングキャンペーン(Dell Technologies)から、パスワードの再利用を悪用するクレデンシャルスタッフィング攻撃(MC2 Data)、MFAを回避するソーシャルエンジニアリング(Kaiser Permanente)まで多岐にわたります。セキュリティ意識のトレーニングや技術的なソリューションが何年も行われているにもかかわらず、認証情報の窃取は依然として攻撃者に効果的な侵入ポイントを提供しています。
- 未パッチの脆弱性は、11件の侵害のうち4件で重要な役割を果たし、脆弱性管理プログラムの継続的な課題を浮き彫りにしています。パッチの利用可能性と悪用の間の時間は縮小し続けており、Change Healthcareの攻撃はパッチリリースからわずか16日後に脆弱性を悪用しました。組織は、パッチの優先順位付け、テスト要件、実施を遅らせる運用上の制約に苦慮しています。
- クラウドの設定ミスは、11件の侵害のうち3件に寄与しており、AT&Tの1億1000万件の顧客記録を含むS3バケットの露出(攻撃ベクトルの洗練度スコア:6.5)を含んでいます。これは、主要な侵害の中で中程度の洗練度スコアを表しており、DemandScience(5.4)やMC2 Data(5.7)のような一部の組織はより低いスコアを示しています。AT&Tの侵害は、アクティブな攻撃ではなく、基本的なクラウドストレージの設定ミスから生じました。しかし、その重大な影響は、重要なデータリポジトリを含む場合、技術的に単純なセキュリティの失敗でも壊滅的なデータ露出を引き起こす可能性があることを示しています。
これらの攻撃における洗練度の変動は、重要なトレンドを明らかにしています:脅威アクターは、目的を達成するために必要な最小限の技術的複雑さを使用します。AT&Tの侵害は、データが設定ミスによって事実上露出していたため、最小限の洗練度を必要としました。対照的に、National Public Dataの堅牢なセキュリティコントロールは、防御を回避し、拡張されたデータ流出中に検出されないために高度な持続技術を必要としました。
このパターンは、高度な脅威検出を通じて洗練された攻撃ベクトルに対処し、攻撃者が最小限の努力で悪用できる「低い果実」を排除するための基本的なセキュリティ衛生の重要性を強調しています。成熟したセキュリティプログラムを持つリソースの豊富な組織でさえ、これらの高度な戦術の犠牲になったことは、今日の脅威環境において完璧な予防が非現実的な目標である可能性を示唆しています。
規制影響評価
2024年のデータ侵害に対する規制環境はますます複雑化し、新しい州のプライバシー法が施行され、法執行が各管轄区域で強化されています。我々の分析は、規制フレームワークと侵害の深刻度メトリクスとの間に重要な相関関係があることを明らかにしています。
複数の規制体制に従う組織(National Public Dataのように、GDPR、CCPA、さまざまな州法にさらされている)は、より少ない規制に従う組織よりも27%高い侵害コストを経験しました。これは、潜在的な罰則だけでなく、異なる通知要件、調査のタイムライン、修復の期待を管理するコンプライアンスの複雑さを反映しています。
金融サービスと医療の侵害は、Gramm-Leach-BlileyやHIPAAのようなセクター固有の規制によって管理され、特に厳しい要件に直面しています。Change Healthcareの侵害は、HIPAAの義務とSECの開示要件の両方を引き起こし、UnitedHealth Groupにとって複雑なコンプライアンスシナリオを作り出しました。
国際的な侵害は、特に困難な規制環境に直面しています。Ticketmasterのグローバルなフットプリントは、数十の管轄区域での要件をナビゲートすることを意味し、それぞれが異なるタイムラインと要件を持っています。この規制の複雑さは、しばしば侵害対応のタイムラインを延長し、危機時の管理負担を増加させます。
しかし、我々の分析は、規制が侵害を防ぐという限定的な証拠を見つけました。高度に規制された業界の組織は、規制が少ないセクターと同様の侵害率を経験しており、コンプライアンスだけではセキュリティの有効性を保証しないことを示しています。
複数の規制体制に従う組織は27%高い侵害コストを経験しましたが、高度に規制された業界は、規制が少ないセクターと同様の侵害率を示しました。
リスクスコア要因分析
トップ11の侵害におけるリスクエクスポージャー指数の構成要素を包括的に分析することで、組織がセキュリティ投資を優先し、リスク管理の取り組みに集中するための重要なパターンと相関関係が明らかになります。
露出したレコード数とリスクスコアの比較
レコード数は全体のリスクスコアと中程度の正の相関(r=0.61)を示しており、その関連性を確認しつつ、これが唯一の重要な要因ではないことを示しています。National Public Dataの侵害(29億件のレコード)とTicketmasterの侵害(5億6千万件のレコード)は、その大規模さのために高いリスクスコアを受けました。しかし、いくつかの小規模な侵害も、特にデータの機密性や財務的影響といった他のリスク要因により、同等のスコアを受けています。
この関係は非線形であり、レコード数が1億を超えると限界効果が減少することが示唆されています。これは、メガブリーチが特定の閾値を超えると、レコード数が2億であろうと20億であろうと、実際の影響は類似することを示しています。
財務的影響とリスクスコアの比較
財務的影響は全体のリスクスコアと最も強い相関(r=0.84)を示しており、他の要因の結果であると同時に、組織的損害の直接的な指標としての役割を反映しています。Change Healthcareの侵害は、推定321億ドルの影響を受け、他のいくつかのインシデントよりも少ないレコードに影響を与えたにもかかわらず、2番目に高いリスクスコアを受けました。
財務的影響の評価には、直接的なコスト(通知、クレジットモニタリング、法的費用)と間接的なコスト(業務の中断、評判の損傷、顧客離れ)が含まれます。後者のカテゴリーは、Change Healthcareのインシデントで見られるように、直接的な修復コストをはるかに上回ることが多いです。
財務的影響はリスクスコアとの最も強い相関関係を示しており(r=0.84)、実際の金銭的な結果が記録数を上回ることが侵害の深刻度を決定する上で重要であることを証明しています。
組織は、財務的影響が規制上の罰則と強く関連していることが多いことに注意すべきです。これは、規制当局が執行決定において組織への損害を暗黙的に考慮していることを示唆しています。
データの機密性とリスクスコア
データの機密性はリスクスコアと強い相関関係を示しており(r=0.78)、特に医療および金融サービスの侵害において高い影響を持っています。税務申告書や収入証明を含む非常に機密性の高い金融文書が露出したLoanDepotの侵害は、より多くの記録に影響を与えたが、機密性の低い情報を含むいくつかの侵害よりも高いリスクスコアを受けました。
我々の分析は、侵害の影響に一貫して影響を与えるデータ機密性の階層を特定しています。
- 治療詳細を含む保護された健康情報
- 金融文書(税務申告書、収入証明)
- CVVを含む完全な支払いカードの詳細
- 社会保障番号
- 認証情報
- 連絡先情報および基本的な個人情報
組織は、この階層に沿ってセキュリティコントロールと監視能力を調整し、最も機密性の高いデータカテゴリーに最も厳格な保護を適用する必要があります。
データの機密性(影響度24%)は、侵害の深刻度を決定する際に他のすべての要因を上回ります。これは、どれだけ盗まれたかよりも、何が盗まれたかが重要であることを確認しています。
規制コンプライアンスの影響とリスクスコア
規制要因はリスクスコアと中程度に強い相関関係を示しており(r=0.72)、特に医療や金融サービスのような高度に規制された業界で影響を持っています。Change HealthcareとKaiser Permanenteの侵害は、HIPAAの影響によりリスクスコアが上昇し、LoanDepotの侵害は金融サービス規制の下で厳しい監視を受けました。
興味深いことに、複数の規制体制(National Public Dataのような)に従う組織は、より高いリスクスコアを受ける傾向があり、これはコンプライアンスの複雑さと、複数の規制上の懸念を引き起こす広範な影響を反映しています。
メガブリーチは、1億件を超える記録において限界影響が減少することを示しており、1億件の記録を失った後は追加の損失が組織への損害を大幅に増加させないことを示唆しています。
ランサムウェア関与とリスクスコアの比較
ランサムウェアの関与はリスクスコアと顕著な相関関係を示していますが、支配的ではありません(r=0.47)。ランサムウェアが関与した3つの侵害(Change Healthcare、Ticketmaster、LoanDepot)はすべて高いリスクスコアを受けましたが、他の要因により、ランサムウェアが関与していない侵害の方が高いスコアを得たケースもあります。
全体のリスクスコアではなく、運用への影響のみを考慮すると、相関関係は大幅に強化されます(r=0.76)。これは、ランサムウェアの主な影響がデータの機密性ではなく、ビジネスの継続性にあることを反映しています。したがって、ランサムウェア対策はデータ保護対策ではなく、主にビジネス継続性への投資として評価されるべきであることを示唆しています。
最も影響力のあるリスク要因
すべての侵害にわたる多要素分析は、侵害の深刻度を決定する上で最も影響力のある3つの要因を示しています。
- データの機密性(影響力24%): 侵害された情報の性質が、実際の影響を決定する上で最も重要な要因であることが証明され、特に金融データや健康データの侵害が最も重大な個別の被害をもたらしました。
- 財務的影響(影響力22%): 侵害された組織や影響を受けた個人に対する経済的な影響が、全体的なリスク評価に強く影響を与え、特にChange Healthcareのケースのようにエコシステムの混乱が特に深刻な影響を生み出しました。
- 規制コンプライアンス(影響力18%): 規制環境が侵害の結果を大きく左右し、高度に規制された業界はより重大な結果と対応要件に直面しました。
この分析は、組織がこれら3つの要因に対応するセキュリティ投資を優先し、特に最も機密性の高いデータリポジトリの保護に焦点を当てるべきであることを示唆しています。
ランサムウェアと運用への影響の相関関係(r=0.76)は、全体的なリスクスコアとの相関関係(r=0.47)をはるかに上回っており、ランサムウェア対策は主に事業継続投資として扱うべきであることを示しています。
結論
このレポートは、サイバー脅威の性質が変化し、世界中の組織に与える影響が増大していることを強調しています。17億件を超える個別通知を超えるデータ露出の規模は、セキュリティ対策の改善が不可欠であることを示しています。リスク露出指数は、侵害の深刻度を包括的に示し、侵害された記録の数だけでなく、財務的、規制的、運用上の影響も考慮しています。ランサムウェアや第三者の脆弱性が多くのインシデントで中心的な役割を果たしているため、組織はベンダーリスク管理プログラムとインシデント対応戦略を再評価する必要があります。
このレポートの主な発見は、サイバー犯罪者の戦術がますます高度化しており、特に金融サービスを標的にしていることを明らかにしています。金融サービスは、最も侵害された業界として医療を上回りました。APIセキュリティの脆弱性、クラウドの設定ミス、ゼロデイ脆弱性の増加は、攻撃の風景が進化していることを示しており、組織はより積極的な防御策を採用する必要があります。規制の監視も強化されており、重大な罰金やコンプライアンス義務が侵害コストをさらに増大させています。例えば、Change Healthcareの攻撃は、単一の侵害が業界全体に与える連鎖的な影響を示し、組織がエコシステム全体のリスクを評価する必要性を強調しています。
今後を見据え、企業はゼロトラストセキュリティモデルを採用し、データ最小化戦略を優先し、将来の侵害を軽減するために高度な脅威検出技術に投資する必要があります。AIを活用した攻撃の増加は、反応的なセキュリティ姿勢から予測的かつ適応的なサイバーセキュリティフレームワークへの移行を必要としています。サイバー犯罪者が技術を洗練させる中、組織は継続的な監視、堅牢なアクセス制御、強化された規制コンプライアンスの取り組みで先を行く必要があります。これらの対策を実施することで、企業はリスク露出を減らし、ますます敵対的なデジタル環境で機密データをより安全に保護することができます。
参考文献
- “Kiteworks Risk Exposure Index,” Kiteworks, October 3, 2024, https://www.kiteworks.com/risk-exposure-index/.
- “ITRC 2024 Data Breach Report,” Identity Theft Resource Center, February 4, 2025, https://www.idtheftcenter.org/publication/2024-data-breach-report/.
- Ibid.
- “Salt Security State of API Security Report,” Salt Security, June 18, 2024, https://salt.security/blog/increasing-api-traffic-proliferating….
- “2024 Cloud Security Report,” Cybersecurity Insiders, accessed March 16, 2025, https://www.cybersecurity-insiders.com/2024-cloud-security-report….
- “Notable zero-day vulnerability trends in 2024,” ManageEngine, January 8, 2025, https://blogs.manageengine.com/desktop-mobile/patch-manager-plus….
- “A Deep Dive Into the Last Vendor Breaches of 2024: What We Learned,” Risk Immune, November 23, 2024, https://riskimmune.com/a-deep-dive-into-the-last-vendor-breaches….
- “National Public Data Breach: What Happened and How to Prevent It,” StrongDM.com, February 4, 2025, https://www.strongdm.com/what-is/national-public-data-breach.
- Michael Kan, “Company Behind Major Social Security Number Leak Files for Bankruptcy,” PCMag, October 8, 2024, https://www.pcmag.com/news/company-behind-major-social-security….
- Jennifer Gregory, National Public Data breach publishes private data of 2.9B of US citizens,” Security Intelligence, August 19, 2024, https://securityintelligence.com/news/national-public-data-breach….
- Steve Alder, “Judge Sets Deadline for Motions to Dismiss Claims in Change Healthcare Data Breach Lawsuits,” The HIPAA Journal, February 19, 2025, https://www.hipaajournal.com/change-healthcare-responding-to-cyberattack/.
- Matt Kapko, “Live Nation confirms jumbo breach, Ticketmaster customer data exposed,” Cybersecurity Dive, June 3, 2024, https://www.cybersecuritydive.com/news/live-nation-ticketmaster….
- Elena Thomas, “AT&T Breach 2024: Customer Data Exposed in Massive Cyber Attack,” Cyber Defense Magazine, January 8, 2025, https://www.cyberdefensemagazine.com/att-breach-2024-customer….
- “Largest Retail Breach in History: 350 Million ‘Hot Topic’ Customers’ Personal and Payment Data Exposed,” Infostealers, July 11, 2024, https://www.infostealers.com/article/largest-retail-breach-in-history….
- Laura French, “LoanDepot confirms SSNs leaked in breach claimed by ALPHV/BlackCat,” SC World, February 26, 2024, https://www.scworld.com/news/loandepot-confirms-ssns-leaked….
- Steve Alder, “Kaiser Permanente Website Tracker Breach Affects 13.4 Million Individuals,” The HIPAA Journal, April 26, 2024, https://www.hipaajournal.com/kaiser-permanente-website-tracker-breach….
- Shweta Sharma, “Hacker selling Dell employees’ data after second alleged data breach,” CSOOnline, September 23, 2024, https://www.csoonline.com/article/3536783/hacker-selling-dell-employees….
- “DemandScience Data Breach Exposes 122 Million Contacts: A Case Study on Decommissioned System Vulnerabilities,” Rescana, December 25, 2024, https://www.rescana.com/post/demandscience-data-breach-exposes….
- Alessandro Mascellino, “Data Breach at MC2 Data Leaves 100 Million at Risk of Fraud,” Infosecurity Magazine, September 26, 2024, https://www.infosecurity-magazine.com/news/mc2-data-breach….
- Shweta Sharma, “US Environmental Protection Agency hack exposes data of 8.5 million users,” CSOOnline, April 8, 2024, https://www.csoonline.com/article/2085541/us-environmental-protection….
- Emily Olsen, “UnitedHealth hikes number of Change cyberattack breach victims to 190M,” Cybersecurity Dive, January 27, 2025, https://www.cybersecuritydive.com/news/change-healthcare-attack-affects….