この記事の続きは広告視聴後にご覧いただけます

サイバーセキュリティ

アフラックが高度なサイバー攻撃を公表|顧客情報流出の可能性と今後の対応とは

この記事は約4分で読めます。
記事内に広告が含まれています。

2025年6月、がん保険や医療保険で知られる大手保険会社「アフラック(Aflac)」が、サイバー攻撃を受けたことを公表しました。発表によれば、「高度なサイバー犯罪グループ」によってアフラックの米国事業のシステムに侵入され、一部の顧客情報が流出した可能性があるとしています。本記事では、事件の概要から攻撃手法、被害の影響、専門家の見解、今後の対応までを一般の方にも分かりやすく解説します。

アフラックへのサイバー攻撃の概要

2025年6月20日、アフラックはプレスリリースを通じて、6月12日に同社の米国ネットワークに対して不審なアクセスがあったことを発表しました。調査の結果、高度な技術を持つサイバー犯罪グループがシステムに侵入し、顧客情報などが含まれるファイルにアクセスした可能性があることが判明しました。

発表時点では、事業の運営に支障はなく、システムがランサムウェアなどで暗号化された形跡もないとしています。しかし、複数の保険会社が同時期に同様の被害を受けていたことから、業界全体を標的にした大規模なサイバー攻撃の一環であると考えられています。

攻撃に使われた手法とは?MFAの回避も確認か

アフラックが明らかにしたところによると、今回の攻撃ではソーシャルエンジニアリングと呼ばれる手法が使われたとされています。これは、攻撃者が企業内の人物になりすまして従業員からパスワードや認証情報を引き出すといった、人間の心理を突いた詐欺的な方法です。

特に今回は、ヘルプデスクや社内IT部門を装って従業員からログイン情報を取得したとみられ、多要素認証(MFA)すら回避された可能性が指摘されています。

この攻撃の特徴は、近年セキュリティ業界で注目されている「Scattered Spider(スキャッタード・スパイダー)」という英語圏の若手サイバー犯罪グループの手口と一致しており、専門家はこの集団の関与を示唆しています。

流出の可能性がある情報とそのリスク

現在、アフラックは被害の全容を調査中ですが、攻撃者がアクセスした可能性のあるファイルには以下のような情報が含まれていたとされています。

  • 契約者や保険の受益者に関する個人情報
  • 健康・医療に関する情報(PHI)
  • 社会保障番号(SSN)
  • 保険金請求の履歴や内容
  • 一部の代理店や従業員の情報

これらは、いずれも第三者に悪用されるリスクが高い情報です。特に米国における社会保障番号や医療情報は、なりすまし詐欺や医療保険の不正利用、クレジット詐欺に用いられる可能性があり、被害の拡大が懸念されています。

アフラックの対応と顧客支援策

事件発覚後、アフラックは迅速にインシデント対応体制を整備し、外部のセキュリティ企業と連携して原因究明と影響範囲の特定を進めています。また、被害の可能性がある個人に対しては以下の支援策を提供しています。

  • 24か月間のクレジットモニタリング(信用情報の監視)
  • ID盗難保護サービス
  • 医療詐欺防止のための「メディカルシールド」
  • 専用カスタマーサポートの設置(米国内向け)

さらに、米国証券取引委員会(SEC)にも報告を提出しており、当局との連携も強化しています。日本国内の顧客への影響は現時点で報告されていませんが、今後詳細が判明次第、必要に応じた対応が行われると考えられます。

専門家の見解:保険業界全体への警鐘

今回の事件に対して、複数のサイバーセキュリティ専門家が見解を述べています。

Googleの脅威分析担当者ジョン・ハルトキスト氏は、「攻撃者は技術的な手段だけでなく、人を騙す手口を巧みに使っている。特にコールセンターやサポート部門が狙われやすい」と指摘。

また、セキュリティ企業Mandiantの技術責任者チャールズ・カーマカル氏は「米国内の保険会社が次々に狙われており、業界全体が波状的な攻撃にさらされている」と警鐘を鳴らしています。

医療セキュリティ企業ClearwaterのCEOも、「Scattered Spiderは非常に洗練された手口を持ち、MFAのバイパスなどにも長けている」と述べ、従来の防御策では不十分なことを示唆しました。

今後の対策と企業に求められること

今回の事件から見えてきたのは、技術的な防御だけでは不十分であるという事実です。多要素認証やファイアウォールといった対策があっても、「人」を介した攻撃には無力なケースが少なくありません。

そのため、今後企業に求められるのは以下のような取り組みです。

  • ソーシャルエンジニアリングを想定した社員教育・訓練
  • ヘルプデスク対応時の本人確認手続きの厳格化
  • システムログやアクセス履歴の常時監視
  • 被害発生時の迅速な公表とサポート体制の整備
  • 業界内での情報共有と共同防衛の枠組みづくり

保険会社は、顧客の極めてセンシティブな個人情報を扱っているため、一般企業よりも高い水準のセキュリティと透明性が求められるのです。

まとめ:顧客の信頼を守るために

アフラックのサイバー攻撃事件は、保険業界が直面している新たな脅威を浮き彫りにしました。高度なサイバー犯罪グループによる執拗な攻撃、そして技術ではなく「人」を狙った手口。これにどう立ち向かうかが、今後の保険会社の信頼維持において重要な鍵を握ります。

アフラックは早期対応と被害者支援に動いており、被害の拡大を最小限に食い止める努力を続けています。一般のユーザーとしても、自身の個人情報がどのように扱われているかを意識し、不審な連絡やメールに注意する姿勢がますます重要になってきています

今後も、保険業界を含むあらゆる企業にとって、サイバーセキュリティは最優先課題のひとつであり続けるでしょう。

コメント

タイトルとURLをコピーしました