ランサムウェア攻撃から回復した企業はトータルでどの程度の費用を負担しなければならないのだろうか。ランサムウェア攻撃から7カ月が経過し、保険金の受け取りや訴訟の和解を経た企業の事例を紹介する。
住宅ローンサービスを提供するある企業は、2024年1月に発生したランサムウェア攻撃により業績が悪化し、2024年第2四半期に約90億円相当の純損失を計上した。
なぜこれほどの被害規模になってしまったのだろうか。
ランサムウェア攻撃受けたのはカリフォルニア州を拠点とするLoanDepotだ。純損失の計上額は6590万ドル(1ドル140円換算で約92億円)だ(注1)。
純損失に占める割合が大きいのはユーザーからの集団訴訟の和解に関連する2700万ドルの費用を含む、約3700万ドルの営業外費用だ。
2024年8月8日に米証券取引委員会(SEC)に提出された報告書「10-Q」によると(注2)、LoanDepotは2024年上半期に攻撃に関連する費用として4100万ドル以上を計上し、これまでに1500万ドルの保険金の支払いを受けたという。同社は、今後の保険金の支払いの時期や金額について、具体的な内容を明らかにしていない。
2023年10月に始まった住宅ローンのサービシングや融資業界に関連する幾つかの著名なサイバー攻撃の一つがLoanDepotへの攻撃だった(注3)。
これらの攻撃は全国の消費者に重大な影響を与え、多くの住宅購入者が取引を延期せざるを得なくなり、それ以外の取引も手作業で完了しなければならなかった。
住宅ローンサービス企業のMr. Cooper Groupは2023年10月にサイバー攻撃を受け(注4)、1470万人に影響を与えるデータ盗難に見舞われた。金融サービス企業のFidelity National Financialは同年11月に攻撃を受け(注5)、約130万人の顧客に影響を与えた。
タイトル保険を提供するFirst American Financialも2023年12月にサイバー攻撃を受けた(注6)。その攻撃では約4万4千人分のデータが盗みだされ、同社に残ったファイルは暗号化された。
LoanDepotは、10-Qの中で「当社に対する攻撃は約1690万人に影響を与えた」と述べた(注7)。
LoanDepotのデビッド・ヘイズ氏(最高財務責任者)は決算発表の中で「今回の和解により、今後に関する不確実性が当社のステークホルダーの中から取り除かれると考えている」と述べた。
この訴訟は、ニュージャージー州在住の顧客を代表してカリフォルニア中部地区連邦地方裁判所に提起された。この顧客は以前に個人ローンを申請していた人物だ。
LoanDepotが2024年2月にメイン州の司法長官に提出した書類によると(注8)、この情報侵害は、社会保障番号や口座番号、氏名、住所などのさまざまな個人データに影響を与えた。
LoanDepotは和解契約の条件について交渉中であり、第3四半期中に裁判所の承認を得るために提出される見込みだ。
純損失は2023年同四半期の4980万ドルに対し32%増加した。LoanDepotの2024年第2四半期の売上高は2億6500万ドルで、2023年同四半期期の2億7180万ドルから2%以上減少した。
ランサムウェア攻撃はどのような規模や業種であっても避けることは難しい。バックアップをはじめとするさまざまなセキュリティ対策を実施しなければならないのはもちろんだ。さらにLoanDepotの事例から分かることは、サイバー保険の重要性だろう。
出典:LoanDepot reports net loss as cyber-related settlement hit Q2 financial results(Cybersecurity Dive)
注1:loanDepot Announces Second Quarter 2024 Financial Results(LoanDepot)
注2:loanDepot, Inc.(SEC)
注3:Mortgage industry attack spree punctuates common errors(Cybersecurity Dive)
注4:Mr. Cooper cyberattack hits every current - and former - customer(Cybersecurity Dive)
注5:Fidelity National Financial cyberattack impacts up to 1.3M customers(Cybersecurity Dive)
注6:First American Financial confirms threat actors stole and encrypted data(Cybersecurity Dive)
注7:loanDepot, Inc.(SEC)
注8:NOTICE OF DATA BREACH(LoanDepot)
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。