何が起きたのか
700Creditは、全米の自動車・RV・マリン・パワースポーツディーラー2万1000以上に、信用調査・本人確認・コンプライアンスサービスを提供する米国最大手の企業です。Equifax、TransUnion、Experianの3大信用情報機関と連携し、250以上のソフトウェアプラットフォームと統合されています。
2025年7月、700Creditの統合パートナーのシステムが侵害されました。攻撃者はそのパートナーのアクセス権を使い、700Creditの顧客情報取得用APIを発見。5月から10月にかけて、約5ヶ月間にわたってデータを吸い出し続けました。
700Creditが異常を検知したのは10月25日。しかし統合パートナーは、自社が7月に侵害されたことを700Creditに通知していませんでした。パートナーが黙っていた約3ヶ月間、攻撃者は自由にデータを取得していたのです。
漏れたのは『信用調査に必要な全情報』
- 氏名
- 住所
- 生年月日
- 社会保障番号(SSN)
セキュリティ専門家は『これは新しい口座を開設するために必要な基本情報4点セットだ』と指摘しています。SSN、氏名、住所、生年月日。この4つがあれば、被害者の名前でクレジットカード、ローン、銀行口座を開設することが可能です。
2025年11月16日、ダークウェブ上で『ROOTBOY』を名乗る脅威アクターが、700Creditの顧客データ840万件(氏名、生年月日、住所、SSN、雇用情報を含む)を売りに出しました。
『車を買っただけ』で、なぜ漏れるのか
ディーラーは車を売るとき、大量の機密個人情報を収集する。特にローンを組む場合は。そしてその情報は、買った人が名前すら知らない信用調査会社に渡っている。
車のローン審査では、SSN、収入情報、過去のクレジット履歴、住所などが必要です。ディーラーはこれらのデータを700Creditに送信し、700Creditが信用情報機関に照会を行います。
買った人はディーラーとやり取りしているつもりですが、実際にはSSNは700Creditのサーバーに保存され、さらにそのサーバーは250以上のソフトウェアプラットフォームとAPIで接続されています。攻撃者はそのAPIの1つから侵入しました。
5ヶ月間気づかなかった理由
700Creditは10月25日に異常を検知しましたが、統合パートナーが7月の時点で侵害されていたことを知ったのはその後の調査です。パートナーは自社の侵害を700Creditに通知していませんでした。
この間、攻撃者はAPIを通じて全体の約20%の顧客データを取得していました。正規のAPI経由のアクセスであるため、通常のセキュリティ監視では異常として検知しにくい構造でした。
被害者への通知が開始されたのは12月22日。侵害開始から約5ヶ月、検知から約2ヶ月後です。
自分の信用情報を守るためにできること
- メールアドレスが過去の漏えい事件に含まれていないかチェックする
- 信用情報の照会履歴を確認し身に覚えのない照会がないか確認する
- クレジットの凍結(フリーズ)を検討する。新規口座開設を防げる
- ディーラーで車を購入する際に信用調査の委託先を確認する
- 信用調査会社からの漏えい通知が届いたら無視せず内容に従う
- パスワードの使い回しをやめる
まず確認すべきこと
車を買ったことがある人は、知らないうちにSSNが700Creditのような信用調査会社に渡っている可能性があります。まずは自分のメールアドレスの漏えい状況を確認し、過去に情報がどこに広がっているかを把握してください。
Web検診のプライバシー診断では、メールアドレスの漏えいチェック、デジタルフットプリントの確認、プライバシースコアの算出を無料で行えます。
出典
BleepingComputer: https://www.bleepingcomputer.com/news/security/700credit-data-breach-impacts-58-million-vehicle-dealership-customers/
SecurityWeek: https://www.securityweek.com/700credit-data-breach-impacts-5-8-million-individuals/
Fox News / CyberGuy: https://www.foxnews.com/tech/700credit-data-breach-exposes-ssns-5-8m-consumers
Cybernews: https://cybernews.com/news/700credit-data-breach-social-security-numbers-us-dealership-financing/