米国の保険大手Aflac(時価総額550億ドル、2024年売上190億ドル)は2025年6月20日、同月12日に発生したサイバー攻撃により顧客データが侵害されたと発表した。
攻撃者は「ソーシャルエンジニアリング」手法を用いて従業員を騙し、システムに不正アクセスした。漏洩した可能性があるデータには社会保障番号、保険請求、健康情報、その他個人情報が含まれる。Aflacは数時間以内に侵入を阻止し、ランサムウェアの被害は受けなかった。
同社は米国と日本で5000万人以上の保険契約者を抱える。今月はErie Insurance(6月7日)、Philadelphia Insurance Companies(6月11日頃)も同様の攻撃を受けており、3件の攻撃はいずれも若い英語圏のサイバー犯罪集団「Scattered Spider」の手法と一致している。
同グループは2023年9月にラスベガスのカジノを標的とした攻撃で知られ、最近は小売業界から保険業界に標的を移した。Aflacは影響を受けた個人に24か月間の無料信用監視サービスを提供する。
From: 
Aflac customer data breached by cybercriminals in latest hit on US insurance industry
【編集部解説】
この集団の特徴は、従来のランサムウェア攻撃とは異なる手法にあります。彼らは「ソーシャルエンジニアリング」と呼ばれる人間の心理を巧妙に操作する手法を駆使し、ITヘルプデスクの担当者になりすまして電話をかけ、従業員から認証情報を騙し取ります。
技術的な脆弱性を突くのではなく、人間の信頼関係を悪用するこの手法は、従来のサイバーセキュリティ対策では防ぎにくいという深刻な問題を浮き彫りにしています。どれほど高度なファイアウォールやセキュリティソフトを導入しても、従業員が騙されてしまえば意味がないのです。
保険業界が標的となる理由は明確です。保険会社は社会保障番号、健康情報、財務データなど、闇市場で高値で取引される個人情報を大量に保有しています。Aflacの場合、5000万人以上の契約者データを管理しており、その価値は計り知れません。
さらに深刻なのは、この攻撃が連鎖的に発生している点です。6月7日のErie Insurance、6月11日頃のPhiladelphia Insurance Companies、そして6月12日のAflacと、わずか数日間で3社が立て続けに攻撃を受けました。これは偶然ではなく、同一グループによる計画的な業界標的攻撃と考えられます。
GoogleのThreat Intelligence Groupは、小売業界を標的としていた同グループが保険業界に標的を転換したと警告しています。これは、サイバー犯罪集団が戦略的に業界を選別し、組織的なキャンペーンを展開していることを示しています。
この事件が示唆する長期的な影響は多岐にわたります。まず、保険業界全体でのセキュリティ投資の急増が予想されます。しかし、技術的対策だけでは限界があり、従業員教育や組織文化の変革が不可欠となるでしょう。
規制面では、金融業界並みの厳格なサイバーセキュリティ基準の導入が議論される可能性があります。特に、個人情報保護法の強化や、インシデント報告義務の拡大が検討されるかもしれません。
最も重要なのは、この事件がデジタル社会の根本的な脆弱性を露呈している点です。AIやIoTの普及により、攻撃対象となるデータは今後さらに増加します。サイバーセキュリティは単なるIT部門の問題ではなく、経営戦略の中核に位置づけられるべき課題となっているのです。
【用語解説】
ソーシャルエンジニアリング
人間の心理や行動を巧妙に操作して機密情報を盗み取るサイバー攻撃手法。技術的な脆弱性ではなく、人間の信頼関係や権威への服従心を悪用する。ITヘルプデスク担当者になりすました電話が典型例である。
補完保険(Supplemental Insurance)
主要な医療保険でカバーされない費用を補償する追加保険。Aflacは米国最大の補完保険プロバイダーで、がん保険や事故保険などを提供している。
ランサムウェア
コンピューターシステムやファイルを暗号化して使用不能にし、復旧と引き換えに身代金を要求するマルウェア。今回のAflac攻撃では使用されていない。
【参考リンク】
Aflac公式サイト(外部)
米国最大の補完保険会社。がん保険、事故保険、重大疾病保険など、主要医療保険でカバーされない費用を補償する保険商品を提供している。
Aflac公式プレスリリース(外部)
今回のサイバーセキュリティインシデントに関するAflacの公式発表。攻撃の詳細、対応状況、顧客への支援策について説明している。
Erie Insurance公式サイト(外部)
1925年創業のペンシルベニア州拠点の保険会社。自動車、住宅、事業、生命保険を12州とワシントンD.C.で提供するFortune 500企業。
CISA(米国サイバーセキュリティ・インフラストラクチャセキュリティ庁)(外部)
米国国土安全保障省傘下の政府機関。サイバーセキュリティ脅威に関する警告や対策ガイダンスを提供している。
【参考記事】
Cybercriminals breach Aflac as part of hacking spree against … – CNN
Aflacへのサイバー攻撃について詳細に報じた記事。Scattered Spiderによる保険業界への組織的攻撃の一環であることを専門家の証言とともに解説している910。
Scattered Spider | CISA
米国政府機関によるScattered Spiderに関する公式警告。同グループの攻撃手法、標的、対策について技術的詳細を含む包括的な分析を提供している3。
Google warns Scattered Spider hackers now target US insurance companies
Google脅威インテリジェンスグループによる保険業界への攻撃警告。Scattered Spiderの業界別標的戦略と最新の攻撃動向について専門的分析を提供している11。
【編集部後記】
今回のAflac攻撃で最も印象的だったのは、高度な技術ではなく「人間の心理」を狙った点です。皆さんの職場でも、IT部門を名乗る電話がかかってきたことはありませんか?
私たちは日々、知らず知らずのうちにソーシャルエンジニアリングの標的になっているかもしれません。特に在宅勤務が増えた今、電話での本人確認が難しくなっています。もし皆さんが企業のセキュリティ担当者だとしたら、従業員にどんな教育を行いますか?
技術的な対策と人的な対策、どちらがより重要だと思われますか?この事件を機に、私たち一人ひとりのセキュリティ意識について一緒に考えてみませんか。
