米国最大の補完医療保険提供会社であるAflacは、社会保障番号を含む機微な健康情報および個人情報が、6月のデータ窃取事件で漏えいした可能性がある2,265万人に通知している。
金曜日時点で、侵害の影響を受けた人数に関するAflacの数は、米国保健福祉省(HHS)のHIPAA侵害報告ツールのウェブサイトにはまだ掲載されていなかった。同サイトは、500人以上に影響する健康データ侵害を一覧表示している。Aflacは8月に、この事件に関するHIPAA侵害報告をHHSの公民権局(OCR)へ提出しており、その際は影響人数を500人とする暫定的な見積もり(プレースホルダー)を記載していた。
HHS OCRのウェブサイトがAflacの最新見積もりである2,265万人に更新されれば、このハッキング事件は、2025年に米国の連邦規制当局へ報告された健康データ侵害として最大規模になる可能性が高い(参照: 2025年の健康データ侵害と2026年の予測)。
セキュリティ研究者らは、Aflacへの攻撃の背後にサイバー犯罪集団Scattered Spiderがいるのではないかと推測していた。昨年の同時期には、他の複数の大手保険会社も攻撃を受けていた(参照: Aflac:「サイバー犯罪キャンペーン」が保険業界を標的に)。
Aflacは6月、米国証券取引委員会にこの事件を初めて開示し、保険会社を標的とする「高度なサイバー犯罪キャンペーン」の被害者になったと述べた。Aflacへの6月の攻撃は、6月8日以降に米国の他の2つの大手保険会社が攻撃を受けた直後に発生した。対象には、Erie Insuranceとして事業を行うErie Indemnity Co.およびPhiladelphia Insurance Companiesが含まれる(参照: 2社の保険会社、継続する障害はランサムウェア起因ではないと説明)。
Aflacは、ジョージア州に拠点を置く同社への攻撃、ならびにErie InsuranceおよびPhiladelphia Insuranceへの攻撃が、昨年小売業界も集中的に標的にしたScattered Spiderによって実行されたという推測について、公にコメントしていない(参照: Scattered Spiderの照準に入る小売業界)。
Aflacは侵害通知の中で、2025年6月12日に米国事業内の限られた数のシステムで不審な活動を検知したと述べた。「重要な点として、このセキュリティ事案は数時間以内に封じ込められました」とAflacは述べた。「当社のシステムはランサムウェアの影響を受けておらず、稼働を維持していました。」
「セキュリティ事案の検知後、Aflacは影響を受けた可能性があると特定されたアカウントを速やかに保護し、パスワードのリセットや不審な活動の兆候に対する追加監視など、さらなる措置を講じました」と同社は述べた。
Aflacの調査により、2025年6月12日に不正な行為者がAflacのシステムから個人情報を取得したことが判明した。
「影響を受けた可能性のあるファイルのレビューにより、顧客、受益者、従業員、代理店、その他Aflacに関連する個人に紐づく個人情報が含まれていたことが判明しました」と同社は述べた。侵害されたファイルには、氏名、連絡先情報、請求情報、健康情報、社会保障番号、その他の個人情報が含まれていたとAflacは述べ、影響を受けたすべての個人について、すべてのデータ要素が存在していたわけではないと付け加えた。
Aflacは、影響を受けた個人に対し、24か月間の無料のクレジット監視、身元盗難保護、医療詐欺保護サービスを提供している。「Aflacは、このセキュリティ事案の結果として個人情報が不正に使用されたことを示す事実を把握していません」と同社は述べた。
これまでに、このサイバー事案に関連してAflacに対する約2ダースの集団訴訟案が提起され、ジョージア州の連邦裁判所に併合されている。
集団訴訟では、他の主張に加え、Aflacが「予見可能な」脅威から原告および集団構成員の機微情報を保護することを怠った過失、黙示契約違反、不当利得などが主張されている。
訴訟では金銭的損害賠償に加え、差止めによる救済も求めている。その内容には、Aflacに対し「原告および集団構成員の個人情報の機密性と完全性を保護するよう設計された包括的な情報セキュリティプログラムを実装し維持する」ことを義務付けること、ならびに当該機微情報を「クラウドベースのデータベース」に保持することを同社に禁じることが含まれる。
Aflacは、このサイバー事案に関する追加のコメントおよび詳細を求めるInformation Security Media Groupの要請に、直ちには回答しなかった。
サイバー犯罪の提携関係
Scattered SpiderがAflacおよび一部の他の保険会社への攻撃の背後にいると推測されている点について、この集団は他の複数のサイバー犯罪グループとつながりがあるように見え、断定的な帰属は難しいと一部の専門家は述べた。
サイバーセキュリティ・コンサルティング企業NCC Groupの上級アドバイザー兼セキュリティディレクターであるTim Rawlins氏は、Scattered SpiderがLapsu$やShinyHuntersを含む他のRaaS(サービスとしてのランサムウェア)グループと提携している様子が観測されており、「Scattered Spiderが一般に協業を活用して効果的な攻撃を実行していることを、さらに示している」と述べた。
同氏は「サイバー犯罪者とそれぞれのネットワーク間の内部動態に関する公開情報が限られているため、この件を解明するのは困難です」と述べた。「しかし、ランサムウェア運用のさまざまな領域をアフィリエイトに外部委託することに焦点を当てたRaaSモデルの普及は、Scattered Spiderが主要なRaaSギャングとつながりを持つ理由や、それに伴うセキュリティ上の含意について、考え得る説明を与えます。」
翻訳元: https://www.databreachtoday.com/aflac-notifies-227-million-people-june-data-theft-attack-a-30434
