veriSource社データ漏洩、被害規模が35倍の400万人に拡大 – 企業間データ共有の隠れたリスクが顕在化

2025年4月29日6:45

サイバーセキュリティニュース

Last Updated on 2025-04-30 15:40 by admin

米国テキサス州ヒューストンに本社を置く従業員福利厚生管理サービス企業VeriSource Services, Inc.（VSI）が、2024年2月に発生したサイバー攻撃による個人情報流出の影響範囲が当初発表の約11.2万人から400万人に大幅に拡大したことを明らかにした。

このインシデントは2024年2月28日に発覚し、調査の結果、2月27日頃に「正体不明の攻撃者」によって同社システムからデータが不正に取得されたことが判明した。流出した情報には、同社サービスを利用する企業の従業員およびその扶養家族の氏名、住所、生年月日、性別、社会保障番号（SSN）などが含まれているが、流出したデータ項目は各個人で同一ではない。

VeriSourceは2024年8月12日に初期データ調査を完了し、当時は約11.2万人が影響を受けたと米国保健福祉省公民権局に報告していた。その後、同社は顧客企業と連携して追加調査を行い、2025年4月17日に最終的な影響範囲を確定した。2025年4月23日から影響を受けた個人への通知を開始し、メイン州司法長官事務所にも報告を行った。

同社は現時点で、流出した情報が悪用された証拠は確認されていないとしており、被害者には12か月間の無償クレジットモニタリングやID保護サービスを提供している。また、FBIと連携して調査を継続していると述べている。

なお、VeriSourceは過去12か月以内にも複数回のデータインシデントを報告しており、2024年8月と11月にも通知を提出していた。このニュースは、FBIが先週発表した年間サイバー犯罪統計で、2024年の米国組織・個人へのサイバー犯罪被害額が過去最高の166億ドル（約25兆円）に達したとの報告の直後に明らかになった。
※VeriSource社は複数回にわたり報告していますが、データ侵害は一回のみ

from:From 112k to 4 million folks’ data – HR biz attack goes from bad to mega bad

【編集部解説】

VeriSourceのデータ漏洩事件は、サイバーセキュリティの世界で頻繁に見られる「影響範囲の拡大」の典型例といえるでしょう。当初11.2万人と報告された被害規模が、最終的に400万人へと35倍以上に膨れ上がったことは、企業の初期調査の限界と、インシデント対応における透明性の重要性を浮き彫りにしています。

この事例から学べる重要な教訓は、サイバー攻撃の全容把握には相当な時間がかかるということです。VeriSourceの場合、攻撃発生から被害の全容解明までに約14カ月を要しました。これは決して珍しいことではなく、複雑なシステムを持つ企業ほど、侵害の範囲を特定するのに時間がかかる傾向があります。

特に注目すべきは、VeriSourceが「クライアント企業」と連携して初めて被害の全容が明らかになった点です。これは、現代のデータエコシステムの複雑さを示しています。多くの企業は自社のデータだけでなく、取引先や顧客のデータも管理しており、侵害が発生した場合、その影響範囲を正確に把握するには関係各社との緊密な連携が不可欠なのです。

また、この事件は個人情報の「カスケード型漏洩」の危険性も示しています。VeriSourceは従業員福利厚生管理サービスを提供する企業であり、直接消費者と接点を持つわけではありません。しかし、そのシステムには多くの企業の従業員データが集約されていました。このように、私たちの個人情報は自分が直接関わりを持たない企業のシステムにも保存されており、そうした「見えないデータの流れ」がサイバーセキュリティのリスクを高めているのです。

さらに懸念されるのは、VeriSourceが過去12カ月以内に複数回のデータインシデントを報告していることです。これは同社のセキュリティ体制に構造的な問題がある可能性を示唆しています。サイバーセキュリティの世界では「一度侵害された企業は再び標的になりやすい」という傾向があり、初期のセキュリティ対策が不十分だった場合、攻撃者が複数の侵入経路を確保している可能性もあります。

被害者への対応として提供されている12カ月間のクレジットモニタリングサービスは、業界標準的な対応ですが、その有効性には疑問符が付きます。個人情報は一度流出すると、ダークウェブなどで何年も取引される可能性があり、1年のモニタリングでは不十分かもしれません。

このインシデントはまた、FBIが先週発表した「米国のサイバー犯罪被害額が過去最高の166億ドルに達した」という報告と合わせて考えると、サイバー攻撃が企業や個人に与える経済的影響の深刻さを改めて認識させられます。

日本企業にとっても他人事ではありません。特に、グローバルに事業を展開する企業や、海外企業とデータをやり取りする企業は、同様のリスクに直面しています。また、2022年に改正された個人情報保護法では、外国にある第三者へのデータ提供に関する規制が強化されており、海外企業のデータ漏洩が日本企業のコンプライアンスリスクにつながる可能性もあります。

テクノロジーの進化とともに、私たちの個人情報は様々な企業間で共有・活用されるようになっています。その恩恵を享受しつつも、自分のデータがどこでどのように使われているのかを把握し、適切な保護措置が講じられているかを確認することが、デジタル時代を生きる私たち一人ひとりの課題となっているのではないでしょうか。

【用語解説】

データインシデント：
サイバーセキュリティにおけるデータインシデントとは、マルウェア感染や不正アクセス、機密情報の漏洩・改ざん・破壊・消失など、情報セキュリティを脅かす一連の事象や事故を指します。これらは事業運営に影響を及ぼす恐れがあるため、迅速な対応と再発防止策が求められます。
本来、インシデントは「事故や事件に至る一歩手前の問題や異常な出来事」を指しますが、サイバーセキュリティにおいては実際の被害を含む用語となります。

VeriSource Services, Inc.（VSI）：
米国テキサス州ヒューストンに本社を置く企業で、従業員福利厚生管理サービスを提供している。中小規模の企業で、企業向けに従業員福利厚生の管理・運営サービスを提供している。

社会保障番号（SSN）：
米国の国民識別番号で、日本のマイナンバーに相当する。税金や社会保障の手続き、銀行口座開設、クレジットカード申請など様々な場面で本人確認に使用される重要な個人情報である。

クレジットモニタリング：
個人の信用情報（クレジットスコア）の変化を監視するサービス。不正なクレジットカード発行や口座開設などの兆候を早期に発見するために利用される。

メイン州司法長官事務所：
米国メイン州の法執行機関で、消費者保護やデータプライバシー関連の法律執行を担当している。多くの州では、一定規模以上のデータ漏洩が発生した場合、司法長官事務所への報告が義務付けられている。

【参考リンク】

VeriSource Services, Inc.（公式サイト）（外部）
従業員福利厚生管理、COBRA管理、ACA報告など、企業向け福利厚生管理サービスを提供する企業の公式サイト。

HIPAA Journal（医療情報保護法関連ニュース）（外部）
医療情報保護に関するニュースサイトで、VeriSourceの初期データ漏洩（11.2万人）に関する報道を行っている。

【編集部後記】

皆さんの会社では、従業員情報がどのように管理され、どこまで共有されているかご存知でしょうか？今回のVeriSourceの事例は、私たちが気づかないところで個人情報が流れている現実を示しています。自分の情報を守るため、勤務先の情報セキュリティポリシーを確認したり、不審なクレジットカード利用や口座開設がないか定期的にチェックしたりする習慣を持つことも一案かもしれません。皆さんはどのように自分の個人情報を管理していますか？