米保険会社AssuranceAmericaは、約690万人分の個人情報と運転免許証番号が流出するデータ侵害を確認したと発表しました。これは今年これまでに判明した米国人の運転免許証データ流出としては最大規模となります。
1998年創業のアトランタを拠点とする同社は、米国の12以上の州で自動車保険やレンタカー保険を提供しており、契約者やドライバーに関する機密情報を日常的に取り扱っています。
AssuranceAmericaは2026年3月17日、システム内で不審な動きを検知しました。調査の結果、この不審な動きは前日の3月16日に始まった悪意ある活動に起因しており、同社の従業員1名を標的としたものであることが判明しています。
同社は外部のフォレンジック専門家を起用し、どのファイルが侵害を受けたかについての調査は2026年6月15日に完了しました。その後、影響を受けた個人への通知書の送付が開始されています。
規制当局への届出によると、メイン州およびインディアナ州の司法長官にも通知が提出されており、影響を受けた人数は合計6,998,886人とされています。
侵害通知書によると、ハッカーは顧客の氏名、連絡先情報、運転免許証番号、社会保障番号を含むファイルにアクセスし、コピーを行っていました。
流出したデータには、自動車保険の契約・口座情報、ドライバーおよび車両に関する情報、顧客の保険金請求に関連する記録も含まれていました。
同社は収集していた個人情報の全容については明らかにしていませんが、影響を受けた個人に対して個人情報盗難保護サービスを提供するとともに、Equifax、Experian、TransUnionを通じて信用情報を確認するよう呼びかけています。
AssuranceAmericaは今回の事件を、フィッシングを伴う外部からのハッキング攻撃と分類しています。攻撃者は従業員1名を標的とし、同社が侵入を検知して侵害された認証情報を無効化するまでの間、攻撃を続けていたとしています。
これを受けて同社は、不正なセッションを終了させ、影響を受けたシステムを隔離し、パスワードをリセットしたほか、強化した監視ツールを導入し、法執行機関にも通報しました。
従業員の認証情報がどのような手口で入手されたかについては明らかにされていませんが、過去の同様の事例では、パスワード窃取型マルウェアやサードパーティ製ソフトウェアの侵害が関与していたケースがあります。
今回の侵害は、政府発行の身分証明書が流出する今年一連の深刻な事案にまた一つ加わる形となりました。これには、6月に少なくとも300万件の運転免許証番号とパスポート番号が流出したテキサス州政府機関の侵害のほか、以前に発生したホテルのチェックインシステム、送金アプリ、刑務所の公衆電話プロバイダー、英国のビザサービスをめぐる情報漏えいも含まれます。
こうした流出が繰り返される背景には、年齢確認のために身分証明書の提出を求めるウェブサイトやアプリが増えていることがあり、こうした機微な情報がどのように保管・保護されているかについて、新たな懸念が高まっています。
運転免許証番号はパスワードとは異なり、単純にリセットすることができません。そのため、今回のような盗難記録は、なりすましや保険金詐欺を狙う詐欺師にとって特に価値の高いものとなります。
翻訳元: https://cyberpress.org/assuranceamerica-data-breach-exposed/