アフラック日本法人でデータ侵害——顧客の機密情報が流出

eSecurity Planet のコンテンツおよび製品レコメンデーションは、編集部が独自の判断で作成しています。掲載リンクからのご購入により、収益が発生する場合があります。詳細はこちら

アフラックは、日本法人においてデータ侵害が発生したことを公表しました。保険契約の詳細や銀行口座情報など、顧客の機密情報が流出したとみられています。

米国証券取引委員会（SEC）への届け出によると、アフラック生命保険（日本法人）が不正アクセスを発見したのは2026年6月25日のことでした。

同社の調査の結果、攻撃者は6月15日から6月25日の間に一部システムへアクセスしていたことが判明しました。

不正侵入を確認した後、アフラック日本法人は一部システムの停止を含む封じ込め措置を講じ、さらなる不正アクセスの防止に取り組みました。

アフラック日本法人インシデントの要点

アフラックによると、攻撃者がアクセスしたファイルには、保険契約・補償内容の詳細、個人情報、および銀行口座情報が含まれていました。

影響を受けた個人の人数は現時点で公表されていませんが、今回流出したデータは金融詐欺、なりすまし被害、アカウント乗っ取り、標的型フィッシングなどのリスクを高める恐れがあります。

同社は外部のサイバーセキュリティ専門家と連携し、侵害の調査と全容の解明を進めています。

アフラック日本法人はすでに金融庁および関係当局への報告を完了しており、法令に基づき影響を受けた個人への通知も行う予定です。

現時点では調査が継続中であり、インシデントの全容はまだ明らかになっていないとしています。

アフラックは、今回の侵害が日本国内のシステムに限定されており、米国事業を支えるシステムには影響がなかったと強調しています。

この点は特筆に値します。アフラックはすでに2025年6月、米国事業に関わる別のサイバーセキュリティインシデントを公表していたためです。

その際は、限られた数のシステムで不審な動きを検知し、数時間以内に封じ込めに成功したこと、ランサムウェアは関与していなかったことが報告されました。

その後アフラックは、2025年のインシデントで約2,265万人分の個人情報が関与していたことを明らかにしました。

続報では、少なくとも1,390万人分の保護対象医療情報（PHI）が流出または窃取されたことが報告されており、2025年に確認された医療関連侵害の中でも最大規模の一つとなっています。

今回の2件のインシデントは異なる環境で発生したとみられますが、合わせて考えると、保険会社がサイバー犯罪者にとっていかに魅力的な標的であるかが改めて浮き彫りになります。

保険会社は、個人識別情報、健康関連記録、保険金請求データ、支払い情報、銀行情報など、大量の機密情報を保有しているためです。

こうしたデータの組み合わせは、なりすまし、給付金詐欺、クレデンシャル攻撃、ソーシャルエンジニアリング、金融詐欺などに悪用される可能性があります。

また、銀行口座情報や保険契約情報は、実際の保険手続きを装った説得力の高いフィッシングメッセージの作成にも利用されかねません。

保険セクターの組織は、顧客情報や財務データへのアクセスを狙う金銭目的のサイバー犯罪者から、継続的な脅威にさらされ続けています。

多層的なセキュリティ戦略を講じることで、組織全体のリスクを低減できます。

こうした取り組みにより、組織全体のリスク露出を低減し、レジリエンスを高めることができます。

アフラックは現時点で、日本での侵害を特定の脅威アクターに帰属させておらず、攻撃者がいかにして最初のアクセスを得たかも明らかにしていません。

しかし今回のインシデントは、保険会社が特権アクセスの継続的な監視、機密システムのセグメント化、アイデンティティ制御の強化、そして机上演習にとどまらない実践的なシミュレーションによるインシデント対応計画のテストを徹底する必要性を改めて示しています。

組織がアイデンティティとアクセス管理を強化するにあたり、ゼロトラストアーキテクチャの採用が、不正アクセスやラテラルムーブメントのリスク低減に有効な手段となります。