Have I Been Pwnedの新たなデータによると、7月に発生したアリアンツ・ライフへのサイバー攻撃により、約110万人の顧客の個人情報が流出しました。
この情報漏洩は、クラウドベースの顧客関係管理(CRM)システムを標的としたもので、Salesforceがホストするデータベースを利用する企業を狙った大規模な攻撃キャンペーンの一部です。
ドイツの保険会社アリアンツSEの米国子会社であるアリアンツ・ライフは、ハッカーが140万人の顧客の「大多数」、金融専門家、従業員のデータにアクセスしたと発表しました。同社は、攻撃者が個人情報を取得したことを認めましたが、当時は具体的な数字は明らかにしませんでした。
Have I Been Pwnedによると、漏洩した情報には以下が含まれます:
-
氏名
-
生年月日
-
性別
-
メールアドレス
-
電話番号
-
自宅住所
州への報告書で、アリアンツは社会保障番号も盗まれたことを明らかにしました。
「110万人の顧客の個人情報が盗まれたことは重大です」とThreatAwareのCEO、ジョン・アボット氏は述べています。
「CRMツールに保存されている機微で価値の高い情報こそが、攻撃者に狙われる理由です。このデータは、他のサイバー犯罪者によるなりすましやフィッシング攻撃に利用される可能性があります。」
攻撃はShinyHuntersと関連
セキュリティ研究者は、この事件がShinyHuntersというハッカーグループと関連しているとしています。同グループは最近、Google、カンタス、Workday、複数の小売ブランドのSalesforceシステムにも侵入しています。グループは、従業員をだまして不正アクセスを得るソーシャルエンジニアリング手法で知られています。
「ShinyHuntersのようなグループは、迅速なソーシャルエンジニアリング戦術に依存しています。これは通常、被害組織の従業員に電話やメールをして脅迫を試みるものです」とアボット氏は述べています。
「これがうまくいかない場合、被害者に支払いを迫るためにリークサイトを立ち上げます。」
金融サービスを標的とした大規模サイバー攻撃についてさらに読む:金融機関への破壊的攻撃が急増
調査によると、攻撃者は悪意のあるOAuthアプリケーションを使ってSalesforceインスタンスに侵入し、その後企業のデータベースをダウンロードしたとみられます。アリアンツの場合、漏洩したファイルには契約者だけでなく、アドバイザーやパートナー企業に関連する数百万件の記録が含まれていると報じられています。
企業の対応と広範な影響
アリアンツ・ライフは、調査が継続中であることを理由に新たな発見についてコメントしていません。しかし、同社は被害を受けた個人に対し、2年間の身元監視サービスを提供すると発表しています。
アボット氏はさらに、「彼ら(ShinyHunters)の攻撃パターンが示すように、セキュリティの基本がいかに重要かが分かります。正確な資産管理、改ざん防止の本人確認、強化されたサービスデスクのプロセスはすべて不可欠です」と述べています。
アリアンツ・ライフの情報漏洩は、今年相次いで発生している著名な事件に続くものであり、金融・テクノロジー業界で広く利用されているクラウドベースシステムのセキュリティに対する懸念を浮き彫りにしています。
画像クレジット:Kittyfly / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/allianz-life-breach-exposes/