米保険会社Aflacは、ハッカーによって極めて機微な個人情報および financial情報にアクセスされる大規模なデータ侵害が発生したことを公表しました。
同社は昨日(6月30日)、SECへの提出書類の中で、子会社であるAflac生命保険(Aflac Japan)が6月25日に侵入を発見したことを明らかにしました。同社によると、「権限のない第三者」が6月15日から6月25日の間に一部システムへアクセスしていたとのことです。
「調査は現在も継続中ですが、Aflac生命保険は、影響を受けたファイルの一部に契約・保障内容の詳細、個人情報、銀行口座情報が含まれていることを確認しました」と同社は明らかにしています。
「今回のインシデントは日本国内のシステムに限定されており、米国事業に関連する当社システムには、権限のない第三者によるアクセスはありませんでした。現時点では、影響の全容および最終的な被害の程度は判明していません」
保険業界における侵害事例についてさらに読む: Third-Party Breach Impacts Majority of Allianz Life US Customers。
Aflac生命保険のウェブサイトに掲載された声明によると、今回のインシデントは同社の顧客ポータルに影響を及ぼしたとのことです。
「不正アクセスの拡大を防ぐため、一部のシステムを現在停止しております」と同社は発表しています(Google翻訳経由)。「なお、保険金・給付金等のご請求をはじめとするお問い合わせ・お手続きにつきましては、コールセンター等を通じて通常通り対応しております」
現在利用できないサービスには、健康診断や人間ドックの予約、同社のAIサポートコンシェルジュなどが含まれます。
現地の報道によると、約440万人の顧客の個人情報および財務情報が漏えいしたとみられています。このうち約23万人の顧客については、保険料引き落とし口座に関する情報も含まれています。
再びScattered Spiderによる攻撃か
Aflac生命保険が脅威アクターの被害に遭ったのは、これが初めてではありません。
2023年には、米国の第三者委託先が侵害されたとされ、これに伴いAflac生命保険の顧客情報が窃取され、販売目的で流出しました。
1年前にも同社は別のデータ侵害に見舞われており、この件はScattered Spiderグループの犯行とみられる、米保険業界を狙った広範なキャンペーンの一環であるとされていました。
Swimlaneのプリンシパル・セキュリティ・ソリューション・アーキテクトであるJoshua Roback氏は、今回の侵害についても、この悪名高い恐喝グループとの関連が疑われると述べています。
「大手保険会社は、子会社、サポートチーム、レガシーなプラットフォーム、地域ごとの業務フローが入り組んだ広大なエコシステムです。そのため脅威アクターにとっては、アクセスを試す場所が数多く存在し、過去のキャンペーンで得た知見を再利用しながら、価値あるデータへ最短でたどり着く経路を探すことが可能になります」と同氏は述べています。
「解決策は、単にアラートを増やすことではありません。セキュリティチームには、事業の一部で検知したシグナルを、他のあらゆる部分での対応に即座につなげられる、連携したワークフローが必要です。エージェンティックAIや自動化は、最もリスクの高いアクティビティの優先順位付けや封じ込め対応のトリガー、そして攻撃者が態勢を整える前に修復作業を前進させ続けることに役立ちます」
Aflac生命保険は関係当局への通報を済ませており、「本件に関連する情報の悪用は現時点で確認されていない」としています。
画像クレジット: yu_photo / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/insurance-giant-aflac-data-breach/