ノバスコシア・パワーの情報漏洩では何人の顧客が影響を受けましたか？

現在および過去の顧客約91万5000人の個人データが流出した。この数字はカナダ・プライバシー委員会の調査結果によるものだ。

情報漏洩で侵害された個人情報はどのようなものですか？

流出したデータには、氏名（フルネーム）、電話番号、メールアドレス、生年月日、銀行口座番号、社会保険番号、運転免許証番号、請求・信用履歴を含む顧客アカウントの履歴が含まれる。

情報漏洩はどのように発生しましたか？

ノバスコシア・パワーの従業員1人がウェブ閲覧中に悪意のあるポップアップをクリックし、それが会社のシステムへの入口を開いた。この攻撃は高度なマルウェアではなく、ソーシャルエンジニアリングの一形態だった。

ノバスコシア・パワーの情報漏洩はいつ発生しましたか？

情報漏洩は2025年4月に発生し、従業員1人が悪意のあるポップアップをクリックしたことがきっかけだった。

情報漏洩の被害を受けた顧客はどのような対応をすべきですか？

被害を受けた顧客は、銀行の明細書や信用報告書に不審な動きがないか監視し、フィッシング詐欺の試みに引き続き警戒すべきだ。カナダでは、EquifaxおよびTransUnionに無料の信用報告書を請求することができる。

ノバスコシア・パワーへのハッキング：91万5000人の顧客情報が流出

ノバスコシア・パワーへのハッキング：たった1回のクリックで91万5000人の顧客情報が流出

2025年4月、ノバスコシア・パワーの従業員1人が悪意のあるポップアップをクリックした。カナダ・プライバシー委員会の調査結果によると、その一瞬が現在および過去の顧客約91万5000人の個人データを流出させるには十分だった。この情報漏洩は、大規模な重要インフラ事業者でさえソーシャルエンジニアリング攻撃と無縁ではないこと、そしてあなたの個人データの安全性は、それを保有するあらゆる組織の最も脆弱なリンクにかかっていることを、厳しく思い知らせてくれる。

流出したデータの内容

今回の情報漏洩で侵害された情報の範囲は深刻だ。被害を受けた顧客は、以下のデータが流出した可能性がある：

氏名（フルネーム）
電話番号
メールアドレス
郵便住所
生年月日
顧客アカウントの履歴（支払い記録、請求履歴、信用履歴を含む）
銀行口座番号
運転免許証番号
社会保険番号（SIN）

これは軽微なデータ漏洩ではない。銀行口座番号、社会保険番号、運転免許証番号の組み合わせがあれば、悪意ある者は他人の名義で本人確認詐欺を行ったり、不正なアカウントを開設したりするために必要なほぼすべての情報を手に入れたことになる。このデータが、多くの人々が単に電気を使うためだけに関わる公共事業会社のシステムに保存されていたという事実は、私たちがほとんど意識しない組織に、いかに広く機密情報が分散して保管されているかを浮き彫りにしている。

ポップアップ1つがどのようにして電力会社の防衛を崩したか

今回の攻撃手法は、国家が展開するような高度なマルウェアではなかった。それはウェブ閲覧中に誰もが目にしたことのある、悪意のあるポップアップだった。従業員1人がそれをクリックし、ノバスコシア・パワーのシステムへの入口が開かれるには、それだけで十分だった。

これはソーシャルエンジニアリングの最も基本的な形だ。攻撃者は必ずしもファイアウォールを突破したり、暗号化を回避したりする必要はない。多くの場合、最も容易な経路は人間を介したものだ。巧妙なポップアップ、偽のログインプロンプト、精巧に作られたフィッシングメールは、幾重もの技術的セキュリティを数秒で突破することができる。

大規模な組織はネットワーク境界のセキュリティに多大な投資をしているが、ユーザーの行動は最もコントロールが難しい変数の一つであり続けている。予算や専門知識がどれほど優れていても、IT部門はすべての従業員が常に正しい判断を下すことを保証できない。これはノバスコシア・パワーのスタッフへの批判ではなく、こうした攻撃がいかに機能するかという現実に過ぎない。攻撃は説得力を持つよう設計されており、人々の警戒が一瞬緩む瞬間を利用するよう作られているのだ。

あなたへの影響

現在または過去にノバスコシア・パワーの顧客だった場合、以下の対策を真剣に講じるべきだ：

アカウントを監視する。 銀行の明細書や信用報告書に不審な動きがないか確認しよう。カナダでは、EquifaxおよびTransUnionに無料の信用報告書を請求できる。

フィッシング詐欺に警戒する。 あなたのメールアドレス、氏名、アカウント履歴が攻撃者の手に渡った可能性がある今、非常にパーソナライズされたフィッシングメールのターゲットになりかねない。信頼できる送信元から送られてきたように見えても、リンクのクリックや情報提供を求めるメッセージには懐疑的な目を向けよう。

できる限りあらゆるところで多要素認証（MFA）を有効にする。 MFAはアカウントに第二の認証レイヤーを追加し、パスワードが漏洩していても不正アクセスを大幅に困難にする。

クレジットフリーズを検討する。 本人確認詐欺が心配な場合、カナダの信用調査機関へのクレジットフリーズにより、本人の明示的な承認なしにあなたの名義で新規口座が開設されるのを防ぐことができる。

今後はデータの最小化を心がける。 あらゆるサービスに提供する個人情報について慎重に考え、厳密に必要なものだけを提供しよう。

より広い視点からも考える価値がある：あらゆる組織があなたのデータをどのように保存・保護しているかを、あなたがコントロールすることはできない。公共事業会社、保険会社、小売業者、医療機関はすべて、あなたの個人プロフィールの断片を保有している。そのうちの1社が情報漏洩に遭えば、その影響はあなたに降りかかる。だからこそ、自分自身でプライバシー保護を重ねることが重要なのだ。企業が情報漏洩されるのを防ぐためではなく、全体的な露出を抑えることで、情報漏洩が発生した際の被害を最小限に抑えるためだ。

自分自身のプライバシーを真剣に守るために

ノバスコシア・パワーの情報漏洩は、自分自身のデジタル習慣を見直す良いきっかけになる。hide.meのようなVPNを使うと、インターネット通信が暗号化されてIPアドレスが隠されるため、特に悪意のあるポップアップやフィッシングリダイレクトがより一般的な公共ネットワークや安全でないネットワーク上で、オンライン活動が傍受・監視されるのを防ぐのに役立つ。VPNは公共事業会社がハッキングされるのを止めることはできないが、より広範なプライバシー戦略の中で実践的な一手となる。

VPNと、すべてのアカウントへの強力でユニークなパスワード、提供されている場所でのMFA、そして未承諾のメッセージへの適切な懐疑心を組み合わせれば、このような情報漏洩から生じる多くの二次的リスクに対して、実質的な防御が構築できる。

企業は今後もターゲットにされ続けるだろう。従業員は時として誤ったものをクリックするだろう。問題は、そうした事態が起きたとき、あなたがどれだけ準備できているかだ。