米国全国保険監督官協会(NAIC)がセキュリティ侵害の被害を受け、米国市民の信用格付けデータが流出しました。
この侵害は6月11日に検出され、米国連邦保険制度の非営利団体であるNAICは6月17日に公表しました。
6月26日に公開された最新の更新情報において、NAICは、内部財務報告用途で使用しているOracle PeopleSoftのゼロデイ脆弱性を悪用することで、不正なアクターが同協会の環境の「一部」にアクセスしたことを確認しました。
NAICはさらに、今回の事件は「開発者やソフトウェアユーザーに当時知られていなかったPeopleSoftの脆弱性を悪用した広範なキャンペーン」によるものであり、複数の組織に影響が及んだと付け加えました。
侵害による影響データと非影響データの確認
攻撃者はNAICのPeopleSoft環境への侵入に成功した後、特定のデータストレージ領域への一時的なアクセスに必要な情報を取得しました。
その後、アクセスしたデータの一部を外部に公開しました。
- InsDataや再販業者などの州のウェブサイトを通じてすでに公開されていた法定財務報告情報
- 保険会社の投資格付け判定を含む信用格付け機関のデータ
- 「潜在的に」追加のストレージデータ(古いログや設定情報などの日常的な技術情報など)
NAICによると、一部の信用格付け機関がこの事件を受けてデータフィードを一時停止しており、これに伴いNAICは保険会社の投資への格付け付与を一時的に停止しています。
「保険会社は更新情報について[自動評価サービスプラス] AVS+を監視してください」とNAICは述べました。
攻撃者によって侵害されなかった重要なデータについては、ユーザーへの通知が行われました。
- 米国保険制度のユーザーおよび従業員の個人情報
- クレジットカードや銀行口座情報を含む支払い・金融口座情報
- 格付け機関の投資根拠レポート
- 米国各州の保険局システムに関する情報
- 全国保険プロデューサー登録機関(NIPR)またはTeammateソフトウェアプロバイダーに関連する情報
- 電子送金、リスクベース資本データ、保険契約者情報、プロデューサーデータ、イベント登録支払い情報など、一部の保険プロセスデータ
さらにNAICは、電子料率・書式申請システム(SERFF)、保険オンライン保険料税(OPTins)、統一認証局申請(UCAA)、エンタープライズデータプラットフォーム(EDP)、規制データ収集(RDC)といったNAICが提供する技術に関連する情報にアクセスしたという攻撃者の主張を否定しました。
「外部のサイバーセキュリティ専門家が、不正な第三者がこれらの情報を取得しておらず、規制報告システムも侵害されていないことを確認しました」とNAICは述べました。
NAICの業務、ほぼ通常状態に復旧
今回の更新情報でNAICは、侵害を検出後「迅速に」封じ込め、攻撃者のシステムへのアクセスをブロックしたと説明しました。
また、外部の法律顧問およびサイバーセキュリティ専門家を起用し、防御強化に向けた追加措置を講じています。
「FBIとの連携も進めています」とNAICは付け加えました。
最後にNAICは、PeopleSoftを通じたオンライン請求書支払いを除き、業務が通常通りに復旧したことを確認しました。なお、同機能は依然として利用できない状態が続いています。
「信用格付けプロバイダーとの協議を行い、当協会のシステムが安全であること、およびNAICの格付けプロセスが再開可能であることについて、第三者による保証を提供しました」とNAICは述べました。
翻訳元: https://www.infosecurity-magazine.com/news/us-insurance-regulator-confirms/
