米国の保険大手アフラック(Aflac)は、攻撃者が同社の日本子会社のシステムに侵入し、個人情報および銀行口座情報を窃取したとして、新たなデータ侵害を公表しました。
アフラック(American Family Life Assurance Companyの略)はFortune 500企業であり、米国最大の補完型保険プロバイダーです。米国と日本で数百万人の顧客にサービスを提供しています。
同社は月曜日に米国証券取引委員会(SEC)に提出した届出書の中で、脅威アクターが今月初めにアフラック・ジャパンのシステムへのアクセスを得ていたことを明らかにしました。
「2026年6月30日、Aflac Incorporated(ジョージア州法人、以下「同社」)の完全子会社であるアフラック生命保険株式会社(以下「アフラック・ジャパン」)は、2026年6月25日に不正な第三者が2026年6月15日から2026年6月25日の間にアフラック・ジャパンの一部システムへ不法にアクセスしていたことが判明したことを発表するプレスリリースを発出しました」と同社は述べています。
「不法アクセスを確認次第、アフラック・ジャパンは一部システムの停止を含む封じ込め措置と追加侵害防止策を迅速に講じました。一部システムの停止にもかかわらず、アフラック・ジャパンはこのインシデントへの対応を進めながら、引き続き契約者へのサービスを継続しています」
アフラックは現在、外部のサイバーセキュリティ専門家の協力を得てインシデントを調査中であり、脅威アクターが影響を受けたシステムに保存されていた一部の機密情報にアクセスしていたことを明らかにしました。
同社は日本の当局にインシデントを報告しており、影響を受けた個人にデータ侵害を通知する予定です。
「調査は現在も継続中ですが、アフラック・ジャパンは一部の被害ファイルに保険契約・補償内容の詳細、個人情報、および銀行口座情報が含まれていることを確認しました。アフラック・ジャパンは金融庁およびその他の関係当局に通知済みであり、本インシデントの影響を受けた個人に対して適切な通知を行う予定です。
「本インシデントは日本のシステムに限定されており、米国事業に関わる同社のシステムには不正な第三者によるアクセスはありませんでした。現時点では、同社への全体的な影響範囲および最終的な影響の規模は不明です」
アフラックの広報担当者は、本日早い時間にBleepingComputerが連絡を試みた際、即座にコメントを得ることができませんでした。
1年前、アフラックは別のデータ侵害を公表しました。これは米国全土の保険会社を狙った大規模なキャンペーンの最中のことで、同社は攻撃者が顧客、受益者、従業員、代理店、その他の個人に関する機密情報を含む文書にアクセスした可能性があると説明していました。
アフラックは昨年の侵害を特定の脅威グループに帰属させませんでしたが、そのインシデントにはScattered Spider(スキャタード・スパイダー)の攻撃を示すすべての特徴が見られました。
攻撃者より先に、すべての防御層をテストする
セキュリティチームが検知・記録できる攻撃は成功した攻撃の54%に過ぎず、アラートが発生するのはわずか14%です。残りは環境内を検知されることなく侵入し続けています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)がSIEMやEDRのルールをどのようにテストし、脅威が検知をすり抜けるのを防ぐかを解説しています。
