Farmers Insurance、Farmers Insurance Exchange、および関連会社・子会社が、サードパーティベンダーを通じたセキュリティインシデントにより、データ漏洩通知文書を提出した。
メイン州司法長官事務所への届出によると、2025年5月29日に発生し翌日に発見されたこの漏洩により、100万人以上の顧客が影響を受けた。サードパーティベンダーが、顧客情報を含むデータベースへの不正アクセスに関する不審な活動をFarmersに警告した。
ベンダーの監視ツールにより迅速に検知され、不正アクターをブロックするなどの封じ込め措置が講じられた。Farmersは直ちに包括的な調査を開始し、法執行機関に通知した。2025年7月24日の調査により、顧客の個人情報の一部が漏洩したことが判明したが、関与した個人情報の種類は明かされていない。同社は顧客の個人情報が悪用された事例は把握していないとしながらも、影響を受けた個人に2年間の無料身元監視サービスを提供する。
Farmersは技術メーカーのData I/Oや創薬研究会社のInotivと並び、近週でセキュリティインシデントを公表した企業の一つである。
From: 
1M Farmers Insurance Customers’ Data Compromised
【編集部解説】
今回のFarmers Insurance社のデータ漏洩は、個別企業のインシデントにとどまらず、組織化された大規模なサイバー攻撃キャンペーンの一端であることが複数の業界報道等から明らかになっています。
具体的な時系列を見ると、被害人数は1,111,386人に及び、インシデントの発生は2025年5月29日、発見が翌30日、そして顧客への通知は8月22日から開始されており、この流れは主要な報道や公式開示で共通して記録されています。
この事件の技術的な背景を解説すると、攻撃者は「UNC6040」と呼ばれる脅威グループによるボイスフィッシング(vishing)攻撃の被害者となったことが明らかになっています。vishingとは音声による社会工学的攻撃で、攻撃者がIT サポート担当者を装って電話をかけ、従業員を騙して悪意のあるアプリケーションをSalesforceシステムに接続させる手法です。
特に注目すべきは、OAuth認証を悪用することで、システムから見れば正当なアクセスとして認識されるため、従来のセキュリティ対策では検知が困難になることです。この攻撃の巧妙さは、技術的な脆弱性を突くのではなく、人間の心理を操ることでシステムへの正当なアクセス権限を取得する点にあります。
このような攻撃が企業に与える長期的な影響は深刻です。流出したデータには氏名、住所、生年月日、運転免許証番号、社会保障番号の下4桁が含まれており、これらの情報の組み合わせは身元詐称や金融詐欺に直結する可能性があります。
さらに重要な点として、Farmers Insurance社は被害企業の一つに過ぎず、同様の攻撃により多数の組織が標的になったとの報告もあります。これは組織化された大規模なサイバー犯罪作戦の存在を示唆しており、個別企業の対策だけでは限界があることを浮き彫りにしています。
この事件から学ぶべき教訓は、技術的なセキュリティ対策だけでなく、従業員の訓練と意識向上が極めて重要だということです。特にクラウドサービスの普及に伴い、OAuth認証やSSOシステムの悪用リスクが高まる中、企業は人的要因を含めた包括的なセキュリティアプローチの再構築を迫られているのが現状です。
【用語解説】
ボイスフィッシング(vishing)
音声による社会工学的攻撃の一種。攻撃者がIT サポート担当者などを装って電話をかけ、従業員を騙してシステムへのアクセス権限を取得する手法である。
OAuth認証
異なるアプリケーション間で安全にユーザー情報を共有するための認証プロトコル。第三者アプリケーションがユーザーのパスワードを知ることなく、限定的なアクセス権限を取得できる仕組みである。
UNC6040
サイバーセキュリティ業界で追跡されている脅威グループの分類名。組織的なボイスフィッシング攻撃を実行し、企業のクラウドシステムからデータを窃取する活動で知られている。
メイン州司法長官事務所
米国メイン州において法的事務を統括する州政府機関。データ漏洩事件においては、企業からの通知義務の窓口として機能している。
【参考リンク】
Farmers Insurance(外部)
1928年設立の米国大手保険会社。自動車保険、住宅保険、生命保険を提供し、全米で1000万世帯以上の顧客にサービスを展開している。
Salesforce(外部)
世界最大のCRM(顧客関係管理)プラットフォーム企業。クラウドベースのビジネスソフトウェアを提供し、今回の攻撃ではそのプラットフォームが標的となった。
Data I/O Corporation(外部)
1972年設立の半導体デバイスプログラミングソリューション企業。自動車、IoT、医療機器などの電子製品製造向けにセキュリティプロビジョニングシステムを提供している。
【参考記事】
Farmers Insurance data breach impacts 1.1M people after Salesforce attack(外部)
1,111,386人の顧客データが漏洩したFarmers Insurance事件の詳細。UNC6040グループによるボイスフィッシング攻撃とSalesforceプラットフォームを悪用した手法について分析している。
Farmers’ Insurance discloses data breach affecting 1 million customers(外部)
Farmers Insurance社のデータ漏洩事件について、被害規模と影響を受けた州(カリフォルニア、ワシントンD.C.、アイオワなど10州)の詳細を報告している。
Farmers Insurance reports data breach affecting over 1 million customers(外部)
保険業界における一連のサイバー攻撃の文脈でFarmers Insurance事件を分析。Aflac、Erie Insurance、Philadelphia Insurance Companiesなど他社の類似事件についても言及している。
The Cost of a Call: From Voice Phishing to Data Extortion(外部)
Googleの脅威インテリジェンスチームによるボイスフィッシング攻撃の詳細分析。UNC6040グループの攻撃手法と被害状況を包括的に解説している。
Hackers steal data from Salesforce instances in widespread campaign(外部)
700以上の組織を標的にしたSalesforceプラットフォーム攻撃キャンペーンの全容。OAuth認証の悪用とData Loaderツールの改造版使用について報告している。
【編集部後記】
今回のFarmers Insurance社の事例は、ボイスフィッシングという「人間の心理」を巧妙に悪用した攻撃手法の巧妙さを見せつけています。従来の技術的な脆弱性を突く攻撃とは異なり、私たち自身が「正しい判断」をしていたつもりでも、実は攻撃者の思惑通りに行動してしまっていた可能性があるのです。
皆さんの職場でも「IT部門を名乗る電話」が突然かかってきた時、どのような対応をされるでしょうか。また、OAuth認証やSSOシステムといったクラウド時代の認証技術が、便利さの裏側でどのようなリスクを抱えているか、お考えになったことはありますか。
この機会に、私たちと一緒にクラウド環境のセキュリティについて、考えを深めてみませんか。
