アフラック不正アクセスの流出件数、約440万人に増加 7月末報告へ
アフラック生命保険で発生した不正アクセスによる個人情報流出は、6月末の公表時点から約2万人増え、およそ440万人に拡大する見通しとなった。顧客への通知は順次進め、7月末ごろをめどに原因分析や再発防止策をまとめた報告書を金融庁へ提出する。
流出範囲の見直し
アフラックは6月30日、第三者が契約者専用サイトに不正アクセスし、顧客情報が漏洩したと公表した。氏名、住所、電話番号、証券番号、保障内容のほか、一部では保険料振替用の銀行口座情報も含まれていた。
社内調査では、不正アクセスの開始時期が当初想定の6月15日より5日早い6月10日だったことが判明した。担当者が異常を把握してシステムを停止した6月25日まで、外部から閲覧可能な状態が続いていた。
通知と銀行対応
流出した顧客数は当初の約438万人から約440万人へ修正され、口座情報が漏れた顧客は約23万人から約22万人に見直された。10日から、流出が確認できた顧客への通知発送を始めており、まずは口座情報が漏洩した約22万人を優先する。全440万人への通知は7月末ごろまでの完了を目指す。
口座情報の流出を受け、銀行側も確認対応を急いでいる。あるメガバンクは、口座情報が漏れた顧客のうち自社の被害件数を明確にするようアフラックに求めた。口座保有者の特定を含め、状況確認を続ける方針だ。別のメガバンクでも、不正利用の有無について取引監視を継続している。
銀行口座番号だけで直ちに不正出金が可能なわけではないが、暗証番号の推定やネットバンキングのパスワード流出が重なれば二次被害の恐れが高まる。
原因究明と金融庁対応
アフラックは社長直下に危機対策本部を設置し、外部のサイバーセキュリティー専門家も交えて原因究明を進めている。関係者によると、犯人は何らかの手段で複数の顧客のIDとパスワードを盗み、契約者になりすまして専用サイトにアクセスしたとみられる。ただ、個人か組織かを含め、特定には至っていない。
米アンソロピックの「ミュトス」など高度なAIの普及で、犯罪組織が未公表の脆弱性を突くリスクも指摘されている。もっとも関係者は、今回の不正アクセスについて「AIを使った可能性は低く、古典的な手口だった」とみている。
金融庁は6月30日、保険業法に基づく報告徴求命令を出した。アフラックは7月末ごろをめどに、原因分析と再発防止策をまとめた報告書を提出する方針だ。
金融機関へのサイバー攻撃
国内の金融機関を狙うサイバー攻撃は足元で増えている。25年3月ごろからは複数の証券会社で口座乗っ取りによる不正株式取引が相次いだ。犯罪組織はフィッシングなどでIDやパスワードを盗み、顧客になりすまして相場操縦で利益を得ていた。各社は、端末内に暗号鍵を生成するパスキーを使った認証を必須にするなど対策を進めている。
25年6月には損害保険ジャパンが外部から不正アクセスを受け、契約者などの情報およそ1750万件が閲覧された可能性があると発表した。販売代理店と情報をやり取りするシステムが標的となった。損保ジャパンは金融庁から報告徴求命令を受けて再発防止策をまとめ、多層防御の導入など追加投資を進めた。不正アクセスを受けたシステムは、現在も停止したままだ。
この記事が役に立ったら、ぜひシェアしてください。