Aflac未經授權存取外洩人數增至約440萬人 預計7月底提交報告
Aflac生命保險發生的未經授權存取所造成的個人資訊外洩,規模較6月底公布時增加約2萬人,預計擴大至約440萬人。公司將分批通知客戶,並以7月底左右為目標,向金融廳提交彙整原因分析與再發防止措施的報告書。
外洩範圍重新檢視
Aflac於6月30日公布,第三方未經授權存取契約者專用網站,導致客戶資訊外洩。外洩內容包括姓名、地址、電話號碼、保單號碼、保障內容,部分資料還包含用於保費扣款的銀行帳戶資訊。
公司內部調查顯示,未經授權存取的開始時間比原先預估的6月15日早5天,實際為6月10日。直到6月25日負責人察覺異常並關閉系統為止,該系統一直處於可從外部瀏覽的狀態。
通知與銀行因應
外洩客戶數已從最初的約438萬人修正為約440萬人,銀行帳戶資訊外洩的客戶則從約23萬人下修至約22萬人。公司自10日起已開始寄送可確認外洩的客戶通知,並優先處理約22萬名銀行帳戶資訊外洩的客戶。針對全部440萬名客戶的通知,目標是在7月底左右完成。
在銀行帳戶資訊外洩後,銀行方面也正加緊確認應對。某家大型銀行已要求Aflac明確說明其客戶中受影響的件數。該行方針是持續確認狀況,包括特定帳戶持有人。另有一家大型銀行也持續監控交易,確認是否有不當使用。
僅憑銀行帳號本身並不能立即進行不法提領,但若再加上密碼推測或網路銀行密碼外洩,二次損失風險就會上升。
原因調查與金融廳應對
Aflac已在總裁直屬下設置危機對策總部,並與外部資安專家共同推進原因調查。據相關人士透露,犯案者疑似以某種手段竊取多名客戶的ID與密碼,冒充契約者登入專用網站。不過,無論是個人或組織,目前都尚未特定。
隨著美國Anthropic的「Mythos」等先進AI普及,犯罪組織利用尚未公開的漏洞發動攻擊的風險也受到關注。不過相關人士認為,這次未經授權存取「使用AI的可能性不高,屬於傳統手法」。
金融廳於6月30日依據保險業法發出報告徵求命令。Aflac方針是在7月底左右提交彙整原因分析與再發防止措施的報告書。
對金融機構的網攻
近期針對國內金融機構的網路攻擊正在增加。自2025年3月左右起,多家證券公司接連發生因帳戶遭盜用而進行的不法股票交易。犯罪組織透過釣魚等手法竊取ID與密碼,冒充客戶藉由操縱股價獲利。各家公司正推進對策,例如強制使用可在裝置內生成加密金鑰的通行密鑰驗證。
2025年6月,損害保險日本宣布遭到外部未經授權存取,約1750萬筆契約者等資訊可能已被瀏覽。遭鎖定的是與銷售代理店交換資訊的系統。損害保險日本在接獲金融廳報告徵求命令後,彙整再發防止措施,並推進導入多層防禦等追加投資。遭受未經授權存取的系統目前仍處於停止狀態。
喜歡這篇內容?立即分享!