上場ブロックチェーンレンダーのFigure、顧客データ流出を正式に確認

概要

• Figureはデータ流出を確認し、従業員がソーシャルエンジニアリング攻撃に騙されたと発表した。
• 盗まれたファイルには名前、住所、生年月日、電話番号などが含まれていると報告されている。
• 上場企業の貸し手は、影響を受けた個人に無料のクレジットモニタリングを提供している。

Figure Technologyは金曜日、従業員がソーシャルエンジニアリング攻撃のターゲットとなった後、顧客データの流出を確認したと発表した。ハッキンググループのShinyHuntersは責任を認め、「Figureは身代金を支払わなかったため、盗まれた2.5ギガバイトのデータを公開した」と主張している。最初にこの流出を報じた_TechCrunch_は、いくつかのファイルを確認し、その中には顧客の氏名、住所、生年月日、電話番号が含まれていたと伝えている。

「最近、従業員がソーシャルエンジニアリングのターゲットとなり、その結果、攻撃者が彼らのアカウントを通じて限定的なファイルをダウンロードできたことを確認しました」と、Figureは_Decrypt_に共有した声明で述べている。「私たちは迅速に活動をブロックし、影響を受けたファイルを調査するためにフォレンジック会社を雇った。」

ソーシャルエンジニアリングとは、攻撃者が偽のメールや電話、メッセージを通じて従業員を操作し、認証情報を共有させたり、不正なリクエストを承認させたりして企業システムへのアクセスを得る手法を指す。Chainalysisの1月の報告によると、昨年、AIを活用したなりすまし詐欺により、170億ドル以上の暗号資産が盗まれたという。

2025年もデータ流出は広範囲に及び、規制当局は12月の報告で、4,000件以上の事件に関連し、3億7400万人以上に影響を与えた8,000件以上の通知申請を記録している。2018年に設立されたFigureは、ニューヨークを拠点とする貸し手で、Provenanceブロックチェーン上で住宅担保融資のプラットフォームを運営している。主にホームエクイティライン・オブ・クレジットに焦点を当てている。Figureは2025年9月にティッカーシンボルFIGRで上場し、IPOで7億8750万ドルを調達、評価額は約53億ドルとなった。

広報担当者は詳細には触れなかったが、ShinyHuntersのメンバーは_TechCrunch_に対し、この流出はOktaを利用したシングルサインオンに依存する企業を狙ったより広範なキャンペーンの一環だと語った。その他の被害者にはハーバード大学やペンシルバニア大学も含まれているとされる。Figureはパートナーや影響を受けた関係者と連絡を取りながら、追加の安全策も実施している。

「通知を受け取ったすべての個人に無料のクレジットモニタリングを提供しています」と同社は述べている。「私たちはアカウントを継続的に監視し、顧客の資金とアカウントを保護するための強固な安全策を整えています。」このデータ流出のニュースは、Figureが金曜日に最大423万株のシリーズAブロックチェーン普通株の二次公開を計画し、引受人から最大3000万ドルのクラスA株を買い戻す計画を発表した直後に出た。Figureの株価は当日3.57%上昇し35.29ドルで取引を終えたが、過去1か月で37%下落している。