6月のデータ侵害により、2,200万人を超えるAflacの顧客情報が流出したことが、同社の新たな声明で明らかになった。
ジョージア州に本拠を置く保険大手は、今年初めに発表したサイバーセキュリティ事案について、数カ月にわたる調査の結論に関する声明を金曜日に公表した。
同社は以前、侵入したハッカーを「数時間以内」に阻止できたものの、一部のファイルがサイバー犯罪者に盗まれたと、証券取引委員会(SEC)に警告していた。
Aflacは、ランサムウェアの影響は受けていないと改めて強調した。同社は攻撃について州の規制当局への通知を開始し、被害者に侵害通知書を送付している。
テキサス州当局は、同州の住民200万人超が影響を受け、全体では約2,270万人の個人情報が盗まれたと述べた。
同社はサイバー攻撃による業務上の問題はなかったが、盗まれた文書には、保険金請求に関する情報、健康データ、社会保障番号(SSN)など、「同社の米国事業における顧客、受益者、従業員、代理店、その他の個人」の個人情報が含まれていた。
連邦法執行機関には攻撃が通報され、事案対応のためにサイバーセキュリティの専門家が雇われた。
通知書によると、調査は12月4日に終了し、被害者には2年間の身元保護サービスへのアクセスが提供される。サービスへの登録期限は2026年4月18日までとされている。
この事案は、IT担当者になりすまして大企業へのアクセスを得ることで知られる、英語話者のサイバー犯罪者による緩やかな連携集団「Scattered Spider」として知られる組織が、保険業界を標的にしたより広範な攻撃キャンペーンのさなかに発生した。当時、Erie Insurance、Philadelphia Insurance Companies、Scania Financial Servicesはいずれもサイバー攻撃を報告していた。
これらの攻撃以降、法執行機関は同グループが使用していたリークサイトを閉鎖し、メンバー2人が英国で逮捕・起訴された。9月に公開された司法省の告発状によれば、Scattered Spiderのサイバー犯罪組織は過去3年間で数十人の被害者から少なくとも1億1,500万ドルを恐喝できたことが明らかになった。
翻訳元: https://therecord.media/22-million-impacted-aflac-breach
