ジョージア州コロンバスに本拠を置く保険大手アフラックは、2025年6月にサイバー攻撃を受け、2025年8月8日にHHS(米国保健福祉省)の公民権局(Office for Civil Rights)へ、影響を受けた個人の数を暫定的に500人とする数値で報告していました。数カ月を要しましたが、アフラックは今回、データ侵害が大規模であり、約2,650万人に影響が及んだことを確認しました。 アフラックはフォーチュン500企業で、主たる保険提供者ではカバーされない医療費を補う補完的医療保険を専門としています。アフラックは米国と日本に子会社を持ち、世界で約5,000万人の顧客を抱えています。
2025年6月12日、同社ネットワーク内で不審な活動が確認されました。侵入は数時間以内に封じ込められ、調査の結果、2025年6月12日に複数のアフラックのシステムが侵害されていたことが確認されました。アフラックは、脅威アクターがソーシャルエンジニアリングを通じて複数のユーザーアカウントにアクセスしたことを確認し、当該脅威アクターは「既知のサイバー犯罪組織と関係している可能性がある。連邦法執行機関および第三者のサイバーセキュリティ専門家は、このグループが保険業界全体を標的にしている可能性があると示している」と述べました。
アフラックの侵害通知ではその脅威アクターの名称は明かされていませんが、今年初めに保険業界を標的にしたことで知られるハッキンググループ「Scattered Spider」である可能性が高いとみられます。Scattered Spiderは金銭目的の若い英語話者ハッカーの集団で、主なメンバーは米国と英国に所在しています。同グループは初期侵入のためにソーシャルエンジニアリング攻撃を行うことで知られています。 HHSの医療セクター・サイバーセキュリティ調整センター(HC3)は、医療および公衆衛生セクターに対する脅威を理由に、2024年10月に同グループに関する警告を発出しました。同グループはこれまでに、病院のITヘルプデスクに対するソーシャルエンジニアリング・キャンペーン、航空、保険、小売セクターを標的としたキャンペーン、ならびにMSPおよびITベンダーを標的とした活動を行っています。
データ侵害が夏に初めて公表された時点では、アフラックはまだ調査を継続していました。今回、侵害されたデータには、会員の氏名、住所、生年月日、パスポート番号や州発行IDカード番号などの政府発行身分証番号、運転免許証番号、社会保障番号、医療情報、健康保険情報が含まれることが確認されました。侵害されたデータは、アフラックの米国事業における顧客、受益者、従業員、代理店、その他の個人に関するものです。 アフラックは影響を受けた個人に通知書の送付を開始しており、24カ月間の無料のクレジットモニタリングおよび身元盗難保護サービスを提供しています。通知書発行時点で、アフラックは盗まれたデータの不正利用は把握していないとしていました。
影響を受けた顧客のうち米国内に何人いるかは現時点では不明ですが、これは今年最大級、場合によっては2025年最大の米国医療データ侵害の一つとみられます。このデータ侵害を受けて20件を超える集団訴訟が提起されており、同社が州および連邦のデータプライバシー・セキュリティ法に準拠していたかを判断するための規制当局による調査も開始されています。
2025年8月28日:上院議員ら、2025年6月のサイバー攻撃についてアフラックに回答を要求
超党派の上院議員2名が、最近開示されたサイバー攻撃およびデータ侵害について追加情報を求め、アフラックの会長兼CEOであるダニエル・P・エイモス氏に書簡を送りました。上院保健・教育・労働・年金(HELP)委員会の委員長であるビル・キャシディ上院議員(共和党・ルイジアナ州)と、マーガレット・ウッド・ハッサン上院議員(民主党・ニューハンプシャー州)は、この事案に関するより高い透明性を求めています。
アフラックは2025年6月12日、米国証券取引委員会(SEC)への提出書類で本件を開示し、その後のプレスリリースで、顧客の個人情報および保護対象医療情報が侵害されたことを確認しました。上院議員らは、サイバー攻撃前に講じられていたセキュリティ対策、他の重要インフラ分野で実施されているサイバーセキュリティのベストプラクティスをアフラックがどのように取り入れているか、本件についてどの連邦機関に通知したか、そしてそれらの通知がいつ行われたかなど、さらなる情報を求めています。
アフラックは、本件で請求(クレーム)情報および健康情報が侵害されたと述べています。上院議員らは、侵害された情報を特定するためにどのような手順が取られたのか、影響を受けた情報の特定作業がいつ完了するのか、本件で影響を受けた可能性のある個人に対してアフラックがどのように積極的に情報発信しているのか、また、サイバー攻撃を受けてセキュリティ手順を改善するためにどのような対応を取った/取る予定なのかを知りたいとしています。
上院議員らはさらに、医療保険の携行性と責任に関する法律(HIPAA)の要件を超えて、本件で不適切に情報が開示された個人に対し、アフラックがどのような追加報告を行うことを約束するのかも問うています。 アフラックには、2025年9月5日までに回答し、質問への答えを提示するよう期限が設けられています。
2025年6月23日:アフラック、サイバー攻撃とデータ侵害の被害を受けた最新の保険会社に
ジョージア州コロンバスに本拠を置く保険大手アフラックは、最近、サイバー攻撃の被害に遭ったことを発表しました。アフラックは米国最大の補完保険提供者であり、世界で5,000万人超に対して経済的保護を提供しているとしています。
アフラックは2025年6月12日、米国証券取引委員会(SEC)への提出書類でサイバー攻撃を開示し、サイバーセキュリティ・インシデント対応プロトコルを開始し、侵入を数時間以内に封じ込めたと説明しました。この攻撃は事業運営に影響を与えず、同社は通常どおり保険契約の引受、請求の審査、その他の顧客対応を継続しているとしています。
アフラックは、自社の侵害対応を支援するために主要なサイバーセキュリティ専門家のサービスを利用しており、攻撃に関する調査は継続中です。アフラックは、本件でランサムウェアは展開されなかったと述べていますが、データが露出した可能性があるとしています。露出した可能性のあるファイルのレビューが進められています。 ファイルレビューのこの初期段階では、影響を受けた個人の数を特定することはできません。
アフラックは、露出したデータには、氏名、請求情報、健康情報、社会保障番号、ならびに米国事業における顧客、受益者、従業員、代理店、その他の個人に関するその他の個人情報が含まれる可能性が高いと述べました。影響を受けた個人には無料のクレジットモニタリングおよび身元盗難保護サービスが提供され、規制当局にはデータ侵害の範囲が通知される予定です。「この攻撃は、現在多くの保険会社が経験しているのと同様に、高度なサイバー犯罪グループによって引き起こされた」と、アフラックはサイバーセキュリティ事案に関するプレスリリースで説明しました。「これは保険業界に対するサイバー犯罪キャンペーンの一環だった。」データ侵害は2025年8月8日にHHSの公民権局へ報告されましたが、影響を受けた個人の数には暫定値として500が用いられていました。この数値は、ファイルレビューが完了し、影響を受けたすべての個人が特定された時点で更新される予定です。
このサイバー犯罪キャンペーンには、米国の他の大手保険会社への攻撃も含まれており、ペンシルベニア州に本拠を置く保険会社のErie Insurance GroupやPhiladelphia Insurance Companiesが含まれます。アフラックへの攻撃と同様に、これら2件の事案でもファイル暗号化は行われず、データ窃取のみが発生しました。現時点で帰属(アトリビューション)は行われていませんが、これらの攻撃のタイミングから、3件すべての背後に単一の脅威アクターがいることが示唆されます。
犯人として最も可能性が高いのは、Scattered Spiderとして知られる脅威グループで、同グループは一度に特定のセクターの大企業を狙うことで知られています。最近ではScattered Spiderは小売セクターを標的にしており、英国の小売業者Marks & Spencer、Co-op、そして高級百貨店Harrodsへの攻撃や、Amazon傘下の食料品チェーンWhole Foodsに供給するUnited Natural Foods、Victoria’s Secretへの米国での攻撃が含まれます。
Google Threat Intelligence Groupの研究者は先週初めに、同グループが保険業界へと軸足を移したとする警告を発し、ReliaQuestは同グループが下流の顧客を攻撃するためにITサービスプロバイダーおよびマネージドサービスプロバイダーを標的にしていると警告しました。Google Threat Intelligence Groupの研究者は最近、保険セクターに対する最近の攻撃が、標的型のScattered Spiderキャンペーンの特徴を示していることを確認しました。
Scattered Spiderは通常、企業ネットワークに侵入してデータを持ち出した後にランサムウェアを展開しますが、これらの攻撃ではランサムウェアは展開されませんでした。ランサムウェアが展開される前に攻撃が検知され阻止された可能性もありますが、同グループが単に戦術を変更し、データ窃取と恐喝のみに注力した可能性もあります。 実行犯はまだ確認されていないものの、保険業界が標的にされていることは明らかです。さらなるサイバー攻撃の試みがセクターに対して行われる可能性が十分にあるため、すべての保険会社は厳重な警戒を維持すべきです。
翻訳元: https://www.hipaajournal.com/aflac-data-breach/
