アメリカの大手保険会社であるアフラックは、今月初めにサイバー攻撃を受け、顧客の個人情報が流出したと発表しました。
アフラックは、アメリカ証券取引委員会に提出した法的に必要な書類で、6月12日にシステム内でハッカーを特定し、事態を収束させたと確認しました。同社は、顧客の社会保障番号や健康情報を含む個人情報が流出したが、影響を受けた顧客数はまだ不明であるとしています。
この情報流出には、アフラックの受取人、従業員、代理店のデータも含まれているということです。
アフラックは、ランサムウェアによる影響は受けていないとし、アメリカの保険業界を標的とする特定のサイバー犯罪グループによる攻撃であると述べました。金曜日のプレスリリースによれば、ハッカーはソーシャルエンジニアリングの手法を用いてネットワークに侵入したとしています。
アフラックの広報担当者は、月曜日にTechCrunchのメール取材に応じず、コメントを控えました。
アフラックは、同社のウェブサイトによれば約5000万人の顧客を抱えており、最近数週間でサイバー攻撃を受けたアメリカの保険会社の中で最新の事例です。ハッカーが保険業界全体を狙っているとの警告が出されています。
Googleの脅威インテリジェンスユニットの主任分析官であるジョン・ハルトクイスト氏は、先週、アメリカ国内での複数の侵入を確認しており、これらの活動は「スキャタード・スパイダー」と呼ばれる緩やかな集団に関連していると述べました。この集団は、ソーシャルエンジニアリングの手法や時には暴力の脅しを用いて企業のヘルプデスクやコールセンターを狙い、ネットワークへのアクセスを試みることが知られています。
このハッカー集団は、最近のエリー保険会社やフィラデルフィア保険会社への侵入の背後にいるともされており、これらの企業は今月サイバー攻撃を公表し、混乱が続いています。
「スキャタード・スパイダー」に関連する攻撃は、金銭目的で行われており、過去にはテクノロジー企業、カジノ、ホテル、そして最近のイギリスとアメリカの小売業界でのデータ流出にも関与しているとされています。