保険提供会社のAllianz Lifeは、米国の140万人の顧客の大多数、さらに金融専門家や一部従業員に影響を及ぼす大規模なデータ漏えいを受けました。
ドイツの金融サービス大手Allianzの子会社であるAllianz Lifeは、Infosecurityに対し、脅威アクターがサードパーティのクラウドベースCRMシステムにアクセスしたことで、個人を特定できるデータが取得されたことを認めました。
最初のアクセスは、ソーシャルエンジニアリングの手法を使って得られたと、同社はメール声明で明らかにしました。
「私たちは直ちに問題を封じ込め、被害を軽減するための対応を行い、FBIに通報しました。これまでの調査によると、Allianz Lifeのネットワークや他の社内システム(保険契約管理システムを含む)へのアクセスは確認されていません。調査は継続中であり、影響を受けた方々への支援のため、専用リソースを用意して連絡を開始しています」とAllianz Lifeは続けました。
このインシデントは米国のAllianz Lifeに限定されており、現在140万人の顧客と約2000人の従業員がいます。
メイン州司法長官事務所に提出されたデータ漏えい通知によると、漏えいは2025年7月16日に発生し、翌日に発見されました。
現時点では、脅威アクターがアクセスした個人を特定できる情報の詳細については明らかにされていません。
影響を受けた個人が特定され次第、消費者への通知が行われる予定です。
また、影響を受けた顧客には、24か月間の無料の個人情報盗難復旧およびクレジットモニタリングが提供されることも確認されています。
保険業界はScattered Spiderの既知の標的
Allianz Lifeの漏えいに関する初期の詳細は、Scattered Spiderと呼ばれるハッキング集団が用いる既知の手口といくつかの共通点があります。しかし、現時点で攻撃の実行者は特定されていません。
Scattered Spiderは、ITヘルプデスクを装うなどのソーシャルエンジニアリング手法を使い、サードパーティのテクノロジーベンダーから認証情報を収集していることが確認されています。
同グループは、ITアウトソーシング大手のTata Consultancy Services(TCS)から認証情報を侵害し、2025年5月に英国小売業者Marks and Spencer(M&S)に侵入したと報じられています。
7月には、Microsoftが保険業界が2025年4月から6月の間にScattered Spiderの積極的な標的となっていたと報告しました。
画像クレジット:Kittyfly / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/third-party-breach-allianz/