Aflac、Scattered Spiderによる保険攻撃の中で情報漏洩を公表

金曜日、アメリカの保険大手Aflacは、アメリカ全土の保険会社を標的とした攻撃キャンペーンの中で、システムが侵害され、個人情報や健康情報が盗まれた可能性があることを公表しました。

Aflac（American Family Life Assurance Companyの略）は、米国最大の補完的保険提供者であり、フォーチュン500にランクインする企業で、米国と日本の数百万の顧客に保険サービスを提供しています。

本日早くのプレスリリースで、保険会社はそのネットワークがランサムウェアの影響を受けていないと付け加えました。しかし、ランサムウェアが展開されてブロックされたのか、単なるデータ窃盗攻撃だったのかは不明です。

広告主のウェブサイトを訪問ページに移動

“私たちは迅速にサイバーインシデント対応プロトコルを開始し、数時間以内に侵入を阻止しました。重要なことに、私たちのビジネスは引き続き運営されており、システムはランサムウェアの影響を受けていません,” とAflacは述べました。

“このインシデントに対応しながら、私たちは引き続きお客様にサービスを提供し、通常通りにポリシーの引受、クレームの確認、その他のサービスを行うことができます。この攻撃は、現在多くの保険会社が経験しているように、洗練されたサイバー犯罪グループによって引き起こされました。これは保険業界に対するサイバー犯罪キャンペーンの一環でした。”

侵害を検出した後、Aflacは外部のサイバーセキュリティ専門家を雇い、インシデントを調査し、攻撃中に露出した可能性のあるファイルの内容を確認しました。

同社が米国証券取引委員会（SEC）への提出書類で説明したように、これらの文書には、顧客、受取人、従業員、代理店、その他の個人に関連する幅広い機密情報が含まれており、クレームや健康情報から社会保障番号および/またはその他の個人情報まで含まれています。

保険会社を狙うScattered Spider攻撃

Aflacのスポークスパーソンは、特定のサイバー犯罪グループに侵害を帰することはできませんでしたが、この侵害はScattered Spider攻撃のすべての兆候を示しています。

Scattered Spider（または0ktapus、UNC3944、Scatter Swine、Starfraud、Muddled Libraとしても追跡されている）は、世界中の著名な組織に対する洗練されたソーシャルエンジニアリング攻撃で知られる脅威アクターのグループであり、フィッシング、SIMスワッピング、多要素認証（MFA）爆撃などの戦術を含んでいます。

2023年9月には、MGMリゾーツに侵入し、従業員になりすますことでアクセスを得た後、BlackCatランサムウェアを使用して100以上のVMware ESXiハイパーバイザーを暗号化することで攻撃をエスカレートさせました。また、RansomHub、Qilin、DragonForceなどの他のランサムウェアオペレーションと提携しています。Scattered Spiderが標的とした他の組織には、Twilio、Coinbase、DoorDash、Caesars、MailChimp、Riot Games、Redditがあります。

今週初めにGoogleの脅威インテリジェンスグループ（GTIG）のチーフアナリストであるJohn HultquistがBleepingComputerに語ったところによると、Scattered Spiderは最近、米国の保険会社を標的とし、侵害しているとのことです。

Hultquistはまた、BleepingComputerに対して、「保険業界は高い警戒を維持すべきであり、特にこのアクターが一度に特定のセクターに焦点を当てる歴史を持っていることを考慮し、ヘルプデスクやコールセンターでの潜在的なソーシャルエンジニアリングの試みに特に注意を払うべきだ」と述べました。

最近の例としては、フィラデルフィア保険会社（PHLY）とErie Insuranceがあり、ネットワークへの不正アクセスを検出した後、停止や混乱を経験しました。

5月には、GTIGのチーフアナリストが、Scattered Spiderが英国の小売チェーンを標的にしていたのを米国の小売業者に切り替えたと警告しました。「このアクターは、長い休止期間を経て英国の小売業を標的にしていたと報告されており、一度に特定のセクターに焦点を当てる歴史を持っています」と彼は付け加えました。