Allianz Life、サイバー攻撃で顧客の個人情報の大半が盗まれたと発表

 (techcrunch.com)
2 ポイント 投稿者 GN⁺ 2025-07-28 | 1件のコメント | WhatsAppで共有
  • 米保険会社 Allianz Life がサイバー攻撃を受け、顧客、金融専門家、一部従業員の個人情報が流出
  • 攻撃者は クラウドベースの CRM システム から情報の大半を ソーシャルエンジニアリング手法 で盗み出した
  • Allianz Life は 法的な届出手続きを行い、FBI に通報 したが、ハッカー集団の推定や被害者数は公表していない
  • 最近、保険業界全体で類似のデータ流出事件が相次いでおり、Scattered Spider ハッカー集団による犯行とみられる事例が増えている
  • 被害者への個別通知は 8月1日ごろ開始予定

Allianz Life サイバー攻撃の概要

  • 米国の大手保険会社 Allianz Life は TechCrunch に対し、2025年7月中旬に発生したデータ流出事件で顧客を含む多数の個人情報が盗まれた事実を正式に確認した
  • Allianz Life の広報担当者はこの事件を正式に認め、攻撃時点を 2025年7月16日 と特定した
  • 攻撃者は サードパーティ製クラウド CRM(顧客関係管理)システム にアクセスし、顧客の大半、金融専門家、一部従業員の識別可能な個人情報をソーシャルエンジニアリング手法を使って盗み出した

データ流出と対応状況

  • データ流出の事実は メイン州の法的届出書 を通じて公開されたが、被害顧客数は直ちには明らかにされなかった
  • Allianz Life の米国内顧客は約 140万人 で、親会社 Allianz 全体では世界で 1億2500万人超の顧客を抱えている
  • Allianz Life は FBI に事件を通報 したが、ハッカーからの金銭要求や直接的な接触の有無は公表していない
  • 流出範囲については、ハッカーは単独で CRM システム経由でアクセスしており、ネットワーク内の他システムには侵害の証拠がないことを強調した

業界内の類似ハッキング事件と背景

  • この1か月の間に、Aflac などの保険会社を狙った大規模ハッキング事件が相次いで発生している
  • Google のセキュリティ研究者は 6月、保険業界全体にわたる複数の侵入事件を把握しており、ソーシャルエンジニアリングを用いる Scattered Spider ハッカー集団の犯行だと指摘した
    • ソーシャルエンジニアリング手法: なりすまし電話などでヘルプデスク担当者をだまし、ネットワークへのアクセス権を取得する方法など
  • Scattered Spider は以前、英国の小売業、航空・輸送業界、シリコンバレーの大手 IT 企業まで、さまざまな産業を標的に攻撃した前歴がある

今後の対応と案内

  • Allianz Life は 被害顧客および利害関係者に対し、8月1日ごろから個別通知を開始する計画
  • セキュリティ関連の追加情報提供や問い合わせには、別途暗号化チャネルの利用を推奨している

関連記事

1件のコメント

 
GN⁺ 2025-07-28
Hacker Newsの意見

  • こういうことはよく言ってしまうし、不人気な意見だとは分かっているが、なぜそうなのかよく分からない
    セキュリティ研究者、ホワイトハットハッカー、グレーハットハッカーは、脆弱性を見つけたときにそれを報告するだけであれば、強力な法的保護を受けるべきだ
    悪意あるハッカーはずっとセキュリティ上の脆弱性を探し続けているのに、それを止める仕組みはない
    一方で善意のハッカーが同じ行為をすると重罪で起訴される
    私たちが安全なシステムを作ることに失敗してきたのは経験的に明らかだ
    恥ずかしいことだが、大企業や組織の大半には安全なシステムを作る能力がほとんどない
    この事実から目を背けようとする理由の一つは、内部レッドチームによる研究ですら許可しないことにある
    その結果、あらゆる状況が企業や権力を持つ組織に有利に回ってしまう
    企業は「私たちのシステムは私たちの責任であり、許可なくテストしてはならない。だがデータが流出しても私たちは責任を負わない」と主張する
    つまり、責任がある時とない時を自分たちの都合で選んで振る舞っているのは皮肉だ
    企業が自社システムのセキュリティに責任を負うのか、それともこれは私たち全員の共同課題なのか、この点は明確にすべきだ
    国民の半数分のデータがたびたび流出しているなら、これは皆が関わる問題に感じられる
    そしてこれは実際に国家安全保障の問題だ
    例えば国家の電力網が安全かどうかを独立機関が点検しているのか、それとも私が自分で合法的に試せるのか?
    いや、試してはならない。試みただけで重罪になる
    こうして強大な組織はシステムに穴があっても何もしなくてよく、外部の人間にはその穴を研究する権利もない
    結局、私たちは国家安全保障を企業の都合と、企業が恥をかかないことのために犠牲にしている

    • Google、facebook、Microsoftの顧客DBが本当にハッキングされたことがあったか、考えさせられる
      今日では、あまりに杜撰なソフトウェアを作る会社にほとんど責任がない
      データ流出が起きるたびに、その企業規模に見合った損害を受けるべきだ
      例えばEquifaxの件では、会社そのものが崩壊寸前になるくらいであるべきだった
      罰金が数十億ドル規模でなければ危機感は生まれず、内部監査もまともにやらない
      今のままでは、実質的にセキュリティを気にする理由がまったくない

    • 企業が本当に大きな処罰を受ける仕組み、例えば規制当局が損害額を算定し長期的なペナルティを課す制度があれば、株価は下がり、企業はセキュリティを真剣に考えざるを得なくなるだろう
      現実はその逆で、企業は軽い警告で済まされることが多い

    • 興味深い主張だ
      ただ、もしホワイトハットもグレーハットも法的保護を受けるようになれば、ブラックハットが事前にあらゆるシステムを好き放題にハックしておいて、「私は脆弱性を探していただけだ」と言い訳できてしまいそうだ
      単に脆弱性を報告せず、あらゆる手口を記憶しておいて、いつでも実際の攻撃に使えるかもしれない
      しかも一生ホワイトハットを装いながら、実際にはその情報を密かに売ることもできる
      今の制度はむしろそうした行動を抑止している

    • こうした問題を避けるには、ウェブにある程度の匿名性が確保されていて、うっかり脆弱性を見つけたり、一般的な方法で処理していて問題が起きたりしても犯罪にならない状況であるべきだ
      また、データベースに文字列ではなく非対称暗号方式のトークンを保存し、漏えい時にユーザーがサービスから補償を受けられるようにすれば、解決は簡単かもしれない
      しかし、そんな形でユーザー保護を本当に保証しようとする企業はない
      結局、ほとんどのセキュリティ活動は見せかけにすぎない

    • すべてのセキュリティ研究が同じではない、という点が重要だ
      多くの人が同意する常識的な研究——偶然脆弱性を発見して報告したようなケース——は確実に保護されるべきだ
      一方で、明確な許可なしに行うペネトレーションテストは、実際にシステムへ混乱をもたらし得る
      誰にでも無差別に許せば、きちんと構築されたシステムに対しても妨害になりかねない
      暗号アルゴリズムのように技術的に解決できる分野もあるが、サイバーセキュリティは依然として法律と信頼に依存している

  • こうした終わりのないデータ流出は、インセンティブ構造を変えれば減らせるかもしれないが、現実的には難しいと思う
    完全には防げないことは認識すべきだ——人はミスをするし、規模が大きくなればミスも増える
    だからといって、努力すらしなくてよいわけではない
    代替策として、個人情報漏えいによる被害を減らす方法も並行して進めるべきだ
    生年月日、氏名、住所、電話番号、メール、SSNのような情報を秘密だとみなすのではなく、実際に「なりすまし」に悪用できるさまざまな経路を塞ぐべきだ
    私はidentity theftという用語自体が嫌いだ——まるで被害者が失敗したかのように見える
    実際には、企業が相手の身元を雑に確認したまま取引するから問題が起きる
    責任の重みは企業側にあるべきだ
    例えば銀行が私の名前で融資を出したなら、その責任は銀行にあるべきで、私にあるべきではない
    この構造さえ変われば、企業は本人確認を徹底するようになり、インセンティブも整う
    もちろんデータ流出の問題はなりすましだけではないが、この点だけでもかなり改善できると思う

    • 私がidentity theftという用語を嫌うことに同意するなら、このスケッチ動画を勧めたい
      https://www.youtube.com/watch?v=CS9ptA3Ya9E

    • 「インセンティブを正せば漏えいは減る」という主張に関して言えば、実際に漏えい被害へ対処するコストが、これを根本的に防ぐコストより高いのかは疑問だ
      国家安全保障に関わる場合を除けば、被害が対策費用を上回ると断定するのは少し難しい

    • 「identity theft」という用語が、必ずしも被害者に非があるというニュアンスには聞こえない
      誰かから何かを盗まれたからといって、その人が悪いとは言わないものだ
      銀行の金庫から私のお金が盗まれても私の責任ではないのと同じだ
      ただしサイバーセキュリティでは、攻撃者が地球の反対側にいる可能性もあり、被害者保護が難しい
      結局、被害者はあくまで被害者だ

    • すでに解決策はある——MFA(多要素認証)とIdP(IDプロバイダー)の連携だ
      一方は知っている情報(データ)、もう一方は所持情報または生体情報(指紋など)
      IdPが両方の認証を行い、認証責任も分散される
      運転免許証の例のように、私が所持していて、政府システムでも確認可能ではある
      問題は、顔認識を第二の認証手段として使うところが多く、プライバシー侵害のリスクが大きいことだ
      長期的には政府が唯一のIdPとして定着する可能性もある
      非生体方式はスケール面で現実的な難しさがあるが、指紋などは実際にすでに多くの国で管理されているので、顔認識よりはましだと思う

  • こういう状況は、経営陣が破産したり、さらには過失で刑務所に入るようにならない限り、絶対に、絶対になくならないだろう
    たとえそうなっても、頻度と深刻さが減るだけだろう

    • 故意の重過失や悪意ある行為でない限り、誰かを刑務所に送るのが答えだとは思わない
      セキュリティ事故の大半はミスから生じる
      企業に財務的打撃を与えることは抑止効果があるかもしれないが、会社が潰れれば数百人から数千人が一度に失業するかもしれない
      単なるファイアウォール設定ミスや、従業員がソーシャルエンジニアリングに引っかかっただけでも、企業には甚大な損害が生じうるからだ
      むしろクラウドやSaaSなどのインターネット接続システムは根本的に安全ではないと認め、利用そのものを大幅に制限するほうが現実的かもしれない
      あるいは、氏名、SSN、生年月日、住所、母親の旧姓といった情報が漏れても無意味な社会構造に変えるのも一つの方法だ

    • 有限責任をなくそうという意見だ
      株主が被害者の損害額全額について、自らの全財産を賭けて責任を負うようにすべきだということだ
      利益を得たいなら、当然自分のリスクもすべて負担すべきだ

    • GDPR導入時に、経営陣がついにハッキング事故へ直接責任を負うと宣伝され、人々が大きな期待を寄せていたのを覚えている
      私は当時それをたわごとだと思っていたし、実際その通りだった
      法的責任を負わせるには重大な過失を立証しなければならず、法廷では抜け道が多い
      役員が在任中にしたすべてのことに責任を負う時代など来ないだろう

  • 私は、顧客情報1件が流出するたびに£1,000の罰金を無条件で科す制度が必要だと思う
    数百万人の顧客を抱える企業なら、会社そのものが終わりかねない
    現実には気にも留めず、いつか漏えいしたらぬるい謝罪メールを1通送って終わりだ
    英国でICO(情報コミッショナーオフィス)は、Ofwat(水道規制機関)と同じくらい無意味で、危険なほど役に立たない機関だ
    (タイプミス修正)

    • 罰金は顧客に直接支払われるべきだ
      今は集団訴訟の結果、1年ほど後に数セントしか戻ってこない構造で、顧客の実質的な助けになっていない

    • 「企業が再生不能になる」と言うが、その場合その会社の顧客はどうなるのか、という疑問だ
      むしろ被害者にさらに別の被害が返ってくるのではないか?

    • 罰金が大きすぎると、国家経済全体に影響しないかという懸念がある

  • Allianzはこうしたサイバー攻撃に備えた保険を実際に提供している
    https://www.allianz.de/aktuell/storys/cyberschutz-knoten-im-system/

    • 保険そのものが問題の一部だ
      企業にとって、安全なソフトウェア開発や研究・投資を行うより、ただ保険に入るほうが安いからだ
      この構造が維持される限り、何も変わらない

    • 少なくとも、契約上必要なエンドポイント保護がきちんと機能していたことは分かってよかった

  • Salesforce開発者が製品をよく理解していないことも原因だし、Salesforce自体がセキュリティをあまり重視していないのも問題だ
    正しく設定されていない環境では、認証なしで2回のWebリクエストだけで取得可能な全データを確認できる
    監視システムもまともに存在せず、Salesforceの貧弱なログをもとに、外部から直接セキュリティ監視体制をすべて設計しなければならなかった
    参考になるガイドもあるので残しておく
    https://www.varonis.com/blog/misconfigured-salesforce-experi
    これを自動化すれば、リコンの末にSalesforceサイトまで見つけられる
    実際に私もやったことがある

  • 記事には「2025年7月16日、悪意あるハッカーがAllianz Lifeの利用するサードパーティのクラウドベースCRMシステムにアクセスした」とある
    いったいこの『サードパーティのクラウドCRM』とは何なのか気になる

    • Googleが最近Salesforceについて書いた記事も参考になる
      https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortion

    • 別の記事ではSalesforceだと言及されており、データ所有者側のセキュリティ設定が甘いことが多い
      設定不備のあるSalesforceテナントはインターネット上にいくらでもある

    • どのシステムかは大した意味がないのではないか
      原因は技術的なハッキングではなく、ソーシャルエンジニアリング攻撃(人をだます手口)だった

    • 使っているCRMによってはHIPAA違反の可能性もあるのでは、という疑問だ

  • データセキュリティ管理が杜撰でも、大企業には実質的な処罰がほとんどない
    政府はSSNの変更をほぼ不可能にしているのに、今なおSSNを本人確認に使っている
    そのせいで、ほとんどの人がすでに露出した状態だ

  • 記事で触れられている通り、代表的なコールセンター経由のソーシャルエンジニアリング攻撃に加え、企業情報はインターネット上にあまりにも広く出回っている
    例えばLinkedInはソーシャルエンジニアリングの宝庫だ
    プロフィールはつながっているかどうかに関係なく、ログインユーザーなら誰でも見られるのだから、もっと多くの企業が社員プロフィールを積極的に点検しないのが不思議に思える

  • 顧客にとっては大きな不便で、会社にとっても打撃だが、ある時点でこれは「共有地の悲劇」のような社会システムの失敗として見るべきではないかと考える
    法的には、銀行が認証に悪用リスクの高い公開情報(SSNや母親の旧姓など)しか使っていない場合、実際に事故が起きたら銀行が責任を負うべきではないかと思う