アリアンツライフのデータ侵害が110万人の顧客に影響

アリアンツライフは、グローバル保険会社アリアンツSEの米国子会社であり、ハッカーによって110万人の顧客の個人データが侵害されたことを確認しました。これは、サードパーティのクラウドプラットフォームに依存する金融サービス企業にとってのリスクの高まりを浮き彫りにしています。

この会社は、米国で140万人の顧客にサービスを提供しており、侵害は7月に発見され、7月16日にSalesforceベースの顧客関係管理（CRM）システムの侵害から発生したと述べています。ハッカーは悪意のあるOAuthアプリケーションを展開することでアクセスを得て、Salesforceシステムに侵入し、会社のデータベースをダウンロードしました。

漏洩したデータは何か？

侵害通知サイトHave I Been Pwnedによると、漏洩したデータには名前、メールアドレス、電話番号、住所、性別、生年月日が含まれています。場合によっては、社会保障番号や税IDも侵害されました。この侵害は、顧客データとともに情報が露出した特定のアリアンツライフの従業員にも及びました。

悪名高いサイバー犯罪グループShinyHuntersは、このサイバー攻撃の責任を主張しており、AT&T、Snowflake、Workdayなどの高プロファイルなサイバー攻撃を行ってきました。このハッキンググループは、従業員を騙して企業システムへのアクセスを許可させるためにソーシャルエンジニアリング技術を使用することで知られており、しばしば盗まれたデータを使用して身代金を要求します。彼らのキャンペーンによって影響を受けた他の大手ブランドには、Google、Adidas、Qantas、Louis Vuitton、Tiffany & Co.が含まれると報告されています。

「ShinyHuntersのようなグループは、迅速に動くソーシャルエンジニアリング戦術に依存しています。これは通常、被害者組織の従業員に電話やメールをかけて脅迫を試みることを含みます。これがうまくいかない場合、彼らは被害者に支払いを圧力をかけることを目的とした漏洩サイトを立ち上げます」と、ThreatAwareのCEOであるジョン・アボットは述べています。

「彼らの攻撃におけるこのパターンが、セキュリティの基本が非常に重要である理由です。正確な資産インベントリ、改ざん防止の身分確認、強化されたサービスデスクプロセスはすべて不可欠です。」

セキュリティ専門家は、アリアンツの侵害が顧客と従業員をアイデンティティ詐欺、フィッシング詐欺、詐欺の試みに対して脆弱にする可能性があると警告しています。アリアンツライフは、侵害を米国当局に報告し、影響を受けた顧客と従業員に2年間の無料アイデンティティモニタリングサービスを提供すると述べています。しかし、同社は進行中の調査を理由にさらなる詳細を共有することを拒否しました。

現時点では、アリアンツライフの顧客は警戒を続け、金融口座を注意深く監視し、疑わしいメールや電話に注意するよう促されています。

一方、Salesforceは、自社のプラットフォーム自体は侵害されていないことを強調しました。代わりに、攻撃者は企業の従業員を騙してアクセスを許可させました。

「Salesforceプラットフォームは侵害されておらず、この問題は私たちの技術における既知の脆弱性によるものではありません」と、TechRadar Proへの声明で広報担当者は述べました。

「私たちは、これらの事件がどれほど混乱を引き起こし、ストレスを与えるかを理解しており、私たちのチームは影響を受けた顧客を支援し、影響を最小限に抑えるために完全に関与しています。私たちのブログでは、ソーシャルエンジニアリング攻撃に対するセキュリティ姿勢を強化するための追加のコンテキストとガイダンスを提供しており、ベストプラクティス、強力なアクセス制御、積極的な対策が含まれています。」

この事件は、個人データに関するリスクの高まりを浮き彫りにしています。犯罪者がどれほど迅速に個人情報を武器に変えることができるか、そして企業が従業員のトリックから守る必要がある理由を示しています。専門家は、このような事件がソーシャルエンジニアリングに対するより強力な防御の重要性と、顧客データを保持するサードパーティのクラウドサービスに対する厳格な監視の重要性を強調していると言います。