知って得するセキュリティのはなし その194
外部委託企業に不正アクセス…大手保険2社からのべ208万人分の情報漏えい
1.このニュースをザックリ言うと
- 1月10日(日本時間)、大手保険会社のアフラックとチューリッヒより、両社の保険加入者の個人情報が、不正アクセスにより漏えいした可能性があると発表されました。
- 被害を受けたのは、アフラック社がん保険加入者1,323,468人分、およびチューリッヒ社自動車保険加入者最大757,463人分で、合わせると最大でのべ2,080,931人分に上ります。
- 1月7日に両社の共通の業務委託先が不正アクセスを受けたことが原因とされ、9日には海外のサイトに加入者情報が掲載されているとの連絡が両社にあったとしています。
2.執筆者からの所感等
- アフラック社保険加入者の流出情報は姓(漢字・カナ)・年齢・性別・証券番号・保険種類番号・保障額・保険料とされています(個人の特定はできないため、情報を第三者に悪用される可能性は低いとしており、10日の時点で加入者に関する情報は委託先のサーバーから削除したとしています)。
- 一方チューリッヒ社からの発表による被害情報は、姓(漢字・カナ)・性別・生年月日・メールアドレス・証券番号・顧客IDおよび車名・等級など自動車保険契約にかかる事項とされています(クレジットカード・銀行口座情報および事故の内容等センシティブな内容までは含まれていないとのことです)。
- 多少の状況の違いはあるものの、2021年5月には大手ベンダー製プロジェクト情報管理ツールが、2022年10月には入力フォーム支援サービス等を提供する企業が不正アクセスを受け、複数の企業が情報流出の被害を受けています。
- セキュリティの堅い大手企業ではなく業務委託先をターゲットとし、あわよくば委託を受けている複数顧客からの情報を一挙に奪取することも狙うであろう攻撃への防御として、委託元が委託先に対し情報保護に関するルールの徹底を行うこと、また委託を受ける側も、管理するサーバーへの直接のアクセスのみならず、社内ネットワークやクライアントPC・モバイル端末への侵入、ないしそこを踏み台としての不正アクセスを想定し、アンチウイルスやUTM等による入口・内部・出口それぞれの対策を十分に行うことが肝要です。
