アメリカの保険会社「アシュアランス・アメリカ」は、サイバー攻撃によって顧客およそ700万人の個人情報や運転免許証番号が流出したと発表しました。運転免許証情報の漏えいとしては、今年アメリカで最大規模になるということです。
1998年に設立された同社は、アメリカの複数の州で自動車保険などを提供しています。業務の性質上、保険の加入希望者や運転手に関する大量の個人情報や、州が発行する運転免許証の情報を保有しています。運転免許証番号が悪意のある第三者に渡った場合、詐欺やなりすましなどの犯罪に悪用されるおそれがあります。
同社が顧客に送付した通知などによりますと、今年3月17日に社内システムへの不正アクセスを発見したということです。その後、6月15日に調査を終え、ハッカーによって顧客の名前、連絡先、運転免許証番号が盗み出されたことを確認したとしています。
また、自動車保険の契約内容や口座情報、運転手と車両に関する情報のほか、保険金請求の詳細なども流出したということです。一方で、これら以外のどのような個人情報が被害に遭ったのかについては、具体的な説明は行われていません。
情報漏えいの具体的な原因について、同社は明らかにしていません。しかし、「従業員1名が標的にされた」と説明しており、不正に取得された認証情報をすでに無効化したとしています。認証情報がどのように盗まれたかは不明ですが、これまでの類似事件では、パスワードを盗み出すマルウェアや、脆弱性のあるソフトウェアの悪用が原因となるケースが報告されています。
なお、アメリカのIT専門メディアが、ハッカーとの接触や身代金支払いの有無などについて同社の最高経営責任者(CEO)らに質問状を送りましたが、これまでに回答は得られていないということです。
インディアナ州およびメイン州の司法長官事務所に提出された報告によりますと、今回のデータ漏えいによる影響は699万人に上るということです。同社は7月10日に、対象となる顧客に向けて通知書を発送する方針です。
アメリカではここ数か月、運転免許証などの身分証明書に関するデータ漏えいが相次いでいます。今年6月には、テキサス州政府がサイバー攻撃を受け、少なくとも300万人分の運転免許証やパスポート番号が流出したと発表しています。
世界各国で年齢確認を義務づける法律の導入が進む中、ウェブサイトやアプリの利用時に身分証明書の提示を求められる機会が増加しています。これに伴い、公的な身分証明書のデータが流出するリスクが高まっており、企業や政府機関には一層のセキュリティ対策が求められています。
