アメリカ最大級の福利厚生管理専門会社の一つが、2024年に発生した同社のデータ侵害により、50万人以上が影響を受けたことを明らかにしました。
ケリー・ベネフィッツは自社を「全米最大かつ最も急成長している福利厚生管理およびテクノロジー、仲介・コンサルティングサービス、給与ソリューション、そしてあらゆる規模の企業に利益をもたらす包括的なツールと戦略の提供者の一つ」と説明しています。
そのため、同社の顧客にはアメリカ最大級の医療提供者、保険会社、金融サービス企業などが含まれています。今回の侵害で影響を受けたのは、ユナイテッドヘルスケア、ガーディアン生命保険会社、CVSヘルス、ワンアメリカ・ファイナンシャル・パートナーズなどです。
ケリー・ベネフィッツ(ケリー&アソシエイツ・インシュアランス・グループとしても事業展開)は、月曜日に55万3,660人が今回の事件で影響を受けたことを明らかにしました。
データ侵害について詳しく読む:米国のデータ侵害被害者数が年間26%増加
メイン州司法長官事務所がオンラインで公開したデータ侵害通知によると、今回の侵害は2024年12月12日から17日の間にケリー・ベネフィッツのIT環境への不正アクセスが原因で発生し、「特定のファイルがコピーされ、持ち出された」とされています。
さらに、「その後、今回の事象で影響を受けたすべてのファイルについて、どのような情報が含まれていたか、誰に関連していたかを特定するため、時間を要する詳細な調査を開始しました」と付け加えています。
複雑さが対応を遅らせる
このインシデント対応プロセスと調査は、関与する顧客組織の数が非常に多かったため、さらに複雑になりました。ケリー・ベネフィッツは、同社ウェブサイトの声明で、侵害の影響を受けた45の組織を挙げています。
「ケリー・ベネフィッツは社内記録を確認し、個人を適切な顧客または保険会社に紐付けました。この分析は2025年3月3日に完了しました。その後、ケリー・ベネフィッツは保険会社や顧客に通知を行い、必要に応じて代理で通知を行うことを申し出ました」と説明しています。
「影響を受けた可能性のある個人ごとに具体的なデータ要素は異なりますが、関与した可能性のある情報の範囲には、氏名と、社会保障番号、納税者番号、生年月日、医療情報、健康保険情報、金融口座情報のいずれか一つ以上が含まれます。」
これらの情報は、脅威アクターにとって非常に金銭的価値が高く、フィッシング攻撃をより信ぴょう性の高いものにしたり、直接的ななりすまし詐欺に利用されたりする可能性があります。
このことが、ケリー・ベネフィッツが一部の被害者に無料のクレジットモニタリングや身元保護サービスへのアクセスを提供している理由の一つです。また、影響を受けた個人に対して、信用情報の凍結や1年間の詐欺警告の設定を検討するよう呼びかけています。
翻訳元: https://www.infosecurity-magazine.com/news/dozens-corporates-kelly-benefits/