公開日: 2025年12月30日
カテゴリ: 侵害分析 | インシデント対応
業種: 保険 / ヘルスケア
エグゼクティブサマリー
保険大手のAflacは、2025年6月のサイバー攻撃により約2,265万人の個人情報および保護対象医療情報が侵害されたことを確認した。これは同年における医療関連データ侵害として最大級の規模となる。高度なサイバー犯罪集団として知られるScattered Spider(UNC3944としても追跡)によるものとされるこの侵入は、英国および米国の小売組織に対する先行キャンペーンに続き、同グループの業種特化戦略が一段とエスカレートしていることを示しており、懸念が高まっている。
本侵害では、社会保障番号、政府発行の身分証番号、医療記録、健康保険情報、請求データなど、広範な機微情報が露出した。Aflacは検知から数時間以内に攻撃を封じ込め、ランサムウェアの展開もなかったものの、本件は超党派の議会による精査、複数の集団訴訟、そして保険業界全体におけるサイバーセキュリティ強化を求める声の再燃を招いている。
インシデントのタイムライン
| 日付 | 出来事 |
|---|---|
| 2025年6月12日 | Aflacが不審なネットワーク活動を検知;数時間以内に攻撃を封じ込め |
| 2025年6月20日 | SECのForm 8-K初回提出でサイバーセキュリティ・インシデントを開示 |
| 2025年8月8日 | HHS公民権局(OCR)に侵害を報告(影響人数の暫定値500) |
| 2025年8月22日 | 上院HELP委員会がAflac CEO宛に照会書簡を送付 |
| 2025年12月4日 | Aflacが、盗まれたファイルにより通知義務が発生することを確定 |
| 2025年12月22日 | テキサス州司法長官に侵害を報告 |
| 2025年12月23日 | Aflacが影響人数2,265万人を公表;通知を開始 |
攻撃の帰属: Scattered Spiderの保険業界への転換
GoogleのThreat Intelligence Group(GTIG)は、Aflacの侵害を米国保険業界を狙うより広範なキャンペーンの一部として特定した。GTIGの主任アナリストであるJohn Hultquistによれば、攻撃には「Scattered Spiderの活動に見られる特徴がすべて揃っていた」という。
Scattered Spider(UNC3944、Octo Tempest、Star Fraud、0ktapusとしても知られる)は、主に英語話者のメンバーと高度なソーシャルエンジニアリング能力で知られる、緩やかに組織化されたサイバー犯罪集団である。当社のScattered Spider概要で詳述しているとおり、同グループは「The Com」と呼ばれるより大きなオンライン・コミュニティの内部で活動しており、新たな標的へ転換する前に単一の業界セクターへ集中するパターンを示してきた。
Scattered Spiderのセクター別推移
- 2022年: 通信事業者(SIMスワップ・キャンペーン)
- 2023年: 金融サービス、カジノ/ゲーム—被害額が1億ドル超に達した壊滅的なMGMおよびCaesarsのサイバー強奪を含む
- 2024年: フードサービス
- 2025年4〜5月: 英国/米国の小売(Marks & Spencer、Co-op、Harrods、Victoria’s Secret、Dior)
- 2025年6月: 米国保険業界
同グループの犯罪活動の進化により、複数のメンバーが逮捕・有罪判決を受けているが、攻撃は依然として止まっていない。
Aflacは、攻撃者がソーシャルエンジニアリング手法を用いてネットワークアクセスを獲得したことを確認した。これはScattered Spiderの特徴的な手口である。同グループは通常、巧妙な電話ベースの攻撃やなりすましスキームにより、ITヘルプデスクや特権ユーザーを標的とする。
Scattered Spiderの一般的なTTP
- ヘルプデスクの操作: 従業員になりすまして認証情報のリセットを依頼
- SIMスワップ: 携帯アカウントを侵害してSMSベースのMFAを回避
- フィッシング・キャンペーン: 説得力のある口実を用いた高度に標的化されたスピアフィッシング
- 正規ツールの悪用: TeamViewer、AnyDeskなどのリモートアクセスツールを悪用
- クラウドでの水平移動: クラウドIDプロバイダを悪用して権限昇格
CrowdStrikeの2025年第2四半期脅威分析によれば、Scattered Spiderの活動は主として米国拠点の保険および小売事業体に集中しており、大規模なヘルプデスクやアウトソースされたIT機能を持つ企業に対して特に高い有効性を示している。
侵害されたデータの種類
本侵害では、個人を特定できる情報(PII)および保護対象医療情報(PHI)が広範に露出した:
- 氏名および連絡先情報
- 社会保障番号
- 運転免許証番号
- 政府発行ID番号
- 医療・健康情報
- 健康保険契約の詳細
- 保険金請求データ
- 生年月日
身分証明書類と健康情報の文脈が組み合わさることで、医療ID盗用や合成IDの作成を含む高度な不正スキームに悪用される重大な可能性が生じる。
影響を受けた対象者
顧客のみに影響する多くの侵害とは異なり、Aflacのインシデントは複数のステークホルダー区分に影響した:
- 契約者および顧客
- 保険金受取人
- 従業員
- 保険代理店
- その他の関係者
Aflacの対応
直ちに実施した対応
Aflacは2025年6月12日に不審な活動を検知した後、サイバーセキュリティ・インシデント対応プロトコルを起動した。会社発表によれば、侵入は「数時間以内に封じ込められ」、ランサムウェアの展開や業務上の混乱は発生しなかった。
主な対応措置は以下のとおり:
- 第三者のサイバーセキュリティ専門家の起用
- 連邦法執行機関への通報
- 影響を受けたアカウントのパスワードリセット
- 包括的なフォレンジック調査
被害者向け救済
Aflacは、影響を受けた個人に対し、CyEx Medical Shieldを通じて24か月間の無償保護サービスを提供している:
- クレジット監視
- 個人情報盗用対策
- 医療不正対策
- 専用カスタマーサポート
申込期限: 2026年4月18日
サポートホットライン: 1-855-361-0305(米東部時間 月〜金 9:00〜21:00、土 9:00〜17:30)
規制当局および議会による精査
上院HELP委員会の照会
2025年8月22日、上院保健・教育・労働・年金(HELP)委員会の委員長であるBill Cassidy上院議員(共和党・ルイジアナ州)とMaggie Hassan上院議員(民主党・ニューハンプシャー州)は、Aflac CEOのDaniel P. Amos宛に正式書簡を送り、本件に関する透明性を求めた。
上院議員らの質問は以下を対象としていた:
- サイバー攻撃以前に整備されていたセキュリティ・プロトコル
- 他の重要インフラ分野におけるサイバーセキュリティ・ベストプラクティスの導入状況
- 攻撃認知の時系列と連邦機関への通知
- 侵害された情報を特定するための手順
- 影響を受けた個人への連絡計画
- セキュリティ・プロトコル改善のための是正措置
- HIPAA要件を超える報告コミットメント
この照会は、医療分野の侵害が増加する中で行われた。2024年には約2億7,600万人の米国人に影響する大規模データ侵害が700件超発生し、インシデント平均コストは977万ドルに達した。
HIPAA報告
Aflacは2025年8月8日、調査継続中であることから影響人数の暫定値として500人を用い、HHS公民権局に侵害報告を提出した。最終的な人数である2,265万人は2025年12月4日に確定した。
法的影響
集団訴訟
侵害開示を受け、Aflacに対して複数の集団訴訟が提起された。AT&T、Target、Home Depotに対するデータ侵害訴訟での成功で知られるBeasley Allen法律事務所は、原告Larry Golston、Dee Miles、Leon Hamptonの代理として、ジョージア州コロンバスの連邦裁判所に提訴した。
訴状は以下を主張している:
- 顧客データ保護における過失
- 契約違反
- プライバシー侵害
- 不当利得
- 十分なセキュリティ対策の不実施
これらの事件はコロンバスの連邦判事の下で併合され、Aflacの回答期限は2026年3月中旬に設定されている。侵害規模と露出データの機微性を踏まえ、法務アナリストは大きな和解負担が生じる可能性を見込んでいる。
過去事例の文脈
近年、データ侵害の和解金は高額化している:
- AT&T(2024年): 7,300万人の顧客が影響;係争中
- Change Healthcare(2024年): 米国最大の医療データ侵害で1億9,270万人が影響
- Target: 金融機関向けに3,900万ドルで和解
- Home Depot: 2,720万ドルの現金和解
業界全体への影響
包囲される保険セクター
Aflacの侵害は孤立した事例ではない。Scattered Spiderが保険会社を標的としているというGoogleの2025年6月の警告は、以下の企業からの同様の開示に続くものだった:
- Erie Insurance(ペンシルベニア州): 2025年6月7日に異常なネットワーク活動を検知
- Philadelphia Insurance Companies: 2025年6月9日にネットワーク障害を報告
- Tokio Marine North America: 2025年6月13日に不審な活動を確認
- Allianz Life: 2025年7月、第三者クラウドシステム経由で140万人の顧客が侵害
Krollの脅威インテリジェンス責任者(グローバル)であるKeith Wojcieszekは、保険会社が保有するデータは独特に価値が高いと指摘した。顧客のPIIだけでなく、被保険組織の詳細なサイバーセキュリティ評価も含まれ、他社への将来攻撃に資する可能性があるためだ。
セクターの脆弱性
保険業界は構造的なサイバーセキュリティ課題に直面している:
- 複雑なグローバル運用: 分散インフラによりセキュリティ監視が複雑化
- 高価値データの集中: PII、PHI、金融データが魅力的な標的を形成
- ヘルプデスクの露出: 大規模な顧客対応部門がソーシャルエンジニアリングに脆弱
- サードパーティ依存: ITの外部委託により攻撃対象領域が拡大
- レガシーシステム: 最新のセキュリティ制御との統合が困難
影響を受けた個人への推奨事項
Aflacから通知を受け取った、または影響を受けた可能性がある場合:
- 提供される保護に加入: 2026年4月18日までにCyEx Medical Shieldサービスに登録
- 信用情報を監視: Equifax、Experian、TransUnionから無料レポートを請求
- 保険明細を確認: 不正な請求や契約変更がないか確認
- クレジット凍結を検討: 自身の身元での新規口座開設を防止
- 不正アラートを有効化: 主要信用情報機関にアラートを依頼
- 標的型フィッシングに警戒: 侵害に言及する連絡には懐疑的に対応
- 不審活動を記録: 不正取引をAflacおよび金融機関へ報告
保険組織への推奨事項
直近の優先事項
- ヘルプデスク認証の監査: 特権アクセス要求に対する確実な本人確認プロトコルを実装
- フィッシング耐性MFAの導入: SMSベースからハードウェアトークンまたはアプリベース認証へ移行
- リモートアクセスツールの見直し: 攻撃者に悪用されがちな正規ツールを監視・制限
- IDプロバイダのセキュリティ強化: クラウドIDシステムに行動分析を実装
- ソーシャルエンジニアリング評価の実施: 現実的なビッシング(vishing)シナリオでヘルプデスク要員をテスト
戦略的投資
- ゼロトラスト・アーキテクチャ: 侵害を前提に継続的に検証
- AI駆動の脅威検知: 異常検知のための行動分析を導入
- 特権アクセス管理: ジャストインタイムアクセスとセッション記録を実装
- インシデント対応の即応性: Scattered SpiderのTTPを想定した机上演習を実施
- ベンダーリスク管理: サードパーティのセキュリティ制御とアクセス権限を評価
結論
Aflacの侵害は、増え続ける医療データ・インシデントの一覧に新たに加わっただけではない。保険業界が最も機微な資産をどのように保護しているかに内在する根本的な脆弱性を露呈している。身元盗用に必要な正確な書類を含む2,265万件の記録がソーシャルエンジニアリングによって持ち出されたという事実は、人間要素を狙う敵対者に対して従来型の境界防御だけでは不十分であることを示している。
通信、ゲーム、小売、そして現在の保険へと業界セクターを体系的に移行していくScattered Spiderの動きは、価値あるデータがどこに集中し、どう抽出するかについて高度な理解を持つことを示す。英語話者のメンバーと洗練されたソーシャルエンジニアリング技術により、より未熟な攻撃者を止める制御をすり抜けている。
保険セクターのCISOおよびセキュリティリーダーにとってメッセージは明確だ。脅威は現在進行形であり、手口は有効性が実証されており、ヘルプデスク認証は存亡に関わる脆弱性となっている。フィッシング耐性の認証、発信者の確実な本人確認、包括的なソーシャルエンジニアリング訓練を実装できない組織は、事実上、Scattered Spiderの照準に入る順番を待っているに等しい。
Aflacのインシデントは、是正対応、法務費用、潜在的な和解により数億ドル規模のコストとなる可能性が高い。しかし、より広い意味でのコスト—他者のリスク管理を基盤とする業界における信頼の毀損—は、さらに重大となり得る。
参考文献
- SecurityWeek: 「Aflacのデータ侵害で2,200万人が影響」
- TechCrunch: 「米保険大手Aflac、ハッカーが2,260万人の個人情報と健康データを盗んだと発表」
- 上院HELP委員会: 「Cassidy委員長とHassan議員、Aflacデータ侵害に関する情報提供を要請」
- Google Threat Intelligence Group: Scattered Spiderによる保険業界への警告(2025年6月)
- CrowdStrike: 「SCATTERED SPIDER、業界横断で攻撃をエスカレート」(2025年7月)
- Beasley Allen: 「データ侵害後、Aflacに対する集団訴訟を提起」
- HIPAA Journal: 「Aflacデータ侵害」インシデント報告
- Insurance Journal: 「Aflac、今年初めのサイバー事案で2,260万人が影響と発表」
Scattered Spider関連カバレッジ:
- Scattered Spider Overview – 包括的な脅威アクタープロファイル
- The MGM and Caesars Cyber Heists: A Detailed Breakdown
- The Fall of Scattered Spider: Teen Charged in $100M Las Vegas Casino Heist
- First Scattered Spider Member Sentenced: Noah Urban Gets 10 Years
- Scattered Spider Pivots to Insurance Sector: Aflac Breach Signals New Wave of Attacks
保険セクターの侵害:
医療データ侵害:
- UnitedHealth Group’s Massive Data Breach: A Cybersecurity Crisis Unfolds
- Yale New Haven Health $18 Million Settlement
- Covenant Health Cyberattack Analysis
本分析は情報提供を目的としている。組織は、脅威の軽減およびインシデント対応に関する具体的な助言について、有資格のサイバーセキュリティ専門家に相談すべきである。
