ハクソク

世界を動かす技術を、日本語で。

アリアンツ・ライフ、サイバー攻撃で顧客の個人データの「大多数」が盗まれたと発表

302日前原文(techcrunch.com)

概要

  • Allianz Life が2025年7月中旬に大規模な 情報漏洩 を確認
  • 顧客・金融専門家・従業員の 個人情報 が流出
  • 第三者クラウドCRMシステム への不正アクセスが原因
  • FBI への通報済み、他システムへの影響は未確認
  • 同業他社も含め 保険業界全体 を狙うサイバー攻撃の一環

Allianz Life大規模情報漏洩事件の概要

  • 2025年7月16日、Allianz Lifeの 第三者クラウドCRMシステム がハッキング被害
  • 攻撃者が 社会工学的手法 でシステムに侵入、 顧客・金融専門家・一部従業員 の個人情報を窃取
  • Brett Weinberg (Allianz Life広報担当)がTechCrunchの取材で事実を認める
  • 被害規模は 顧客1.4百万人 以上、親会社Allianzは世界で 1億2千5百万人 の顧客基盤
  • 漏洩した情報件数 は未公表、 Maine州司法長官への法的報告 で事件を公表
  • FBIに通報済み、自社ネットワークの他システムへの侵害証拠はなし
  • 攻撃者からの 身代金要求や犯行声明 の有無は非公開
  • 犯行グループの特定 も現時点で公表せず
  • 2025年8月1日頃 から被害者への通知を開始予定

保険業界へのサイバー攻撃の広がり

  • 今回の事件は、 保険業界全体 を標的とした サイバー攻撃の波 の一部
  • Aflac など他の大手保険会社も同様の被害
  • Googleのセキュリティ研究者 によると、「 Scattered Spider」と呼ばれるハッカー集団が関与の可能性
    • 社会工学的手法で ヘルプデスクを騙し、システムアクセス権を取得
  • 過去には小売、航空、運輸、シリコンバレーのIT企業 も標的に

追加情報・連絡先

  • Zack Whittaker(TechCrunchセキュリティ編集者) が取材を担当
    • Signal(zackwhittaker.1337) または メール(zack.whittaker@techcrunch.com) での情報提供を呼びかけ

Hackerたちの意見

こういうデータ漏洩が続くのは、インセンティブを改善すれば減らせると思うけど、難しいよね。完全に止めることはできないし、人間はミスをするし、大勢の人が集まるとさらにミスが増える。でも、だからって試みないわけにはいかないと思う。私が考えるに、もう一つのアプローチは、影響を少しでも軽減することだね。誕生日や名前、住所、電話番号、メールアドレス、社会保障番号(SSN)などがプライベートだと思わない方がいいよ。人々が「アイデンティティを盗む」ために使う手段を封じるべきだ。アイデンティティを盗むって言葉が嫌いなんだよね。被害者が何かミスをしたせいでそうなったみたいに聞こえるから。でも実際は、企業が取引先の身元を確認するのを怠っただけなんだよね。責任はその企業にあるべきだと思う。もし銀行が私の名前であなたにローンを貸したら、それは彼らの問題であって、私の問題じゃない。そうなれば、問題はほぼ一晩で消えると思う。企業は人を確認するのに厳しくなるだろうし、そうしないとお金を失うからね。インセンティブが一致するんだ。アイデンティティ盗難はデータ漏洩の唯一の問題じゃないけど、比較的対処しやすい問題だと思う。

アイデンティティを盗むって言葉が嫌いなんだよね。被害者が何かミスをしたせいでそうなったみたいに聞こえるから。でも実際は、企業が取引先の身元を確認するのを怠っただけなんだよね。責任はその企業にあるべきだと思う。これを楽しめるかもよ: https://www.youtube.com/watch?v=CS9ptA3Ya9E

この終わりのないデータ漏洩は、インセンティブを改善すれば減らせるかもしれないけど、それは難しいね。正直、データ漏洩の被害がそれを排除するコストを上回るかは不明だよ。国家安全保障に関しては、そこがはっきりしてると思うけど。

解決策はすでにあるんだよ:MFAとIdP連携。知っている要素(データ)と、持っている要素、または自分自身(生体認証)を組み合わせる感じ。IdPが両方の要素を発行して、身分確認が連携されるんだ。運転免許証を提出する必要があるときに似たようなことが起こるけど、技術的には自分のもので、政府のシステムで確認されれば連携されたIDになる。でも、知識要素だけで簡単に偽造できるんだよね。残念ながら、ここでは銀行や政府が第二の要素に顔認証を使っていて、プライバシーの問題が大きい。おそらく連邦政府が唯一のIdPになる傾向があると思う。非生体要素はスケールで実用的な難しさがあるかもしれないけど、指紋の方が顔よりは良いと思う。ほとんどの国で既に導入されていて、簡単に連携できるはず。完璧ではないけど、代替案よりはマシだと思う。

身分盗用って言葉は、自分が何か悪いことをしたせいでそうなったとは思わないな。何かを盗まれたからって、それが自分のせいだとは限らないよ。誰かが銀行の金庫に侵入してお金を盗んだら、それはあなたの責任とは見なされないよね。サイバーセキュリティの課題は、あなたの身分を盗もうとしている人が世界の反対側にいる可能性があることなんだ。それが理由で、エンドユーザーができるだけ安全でいることに焦点が当たるんだ。でも、何かを盗まれたら、あなたはやっぱり被害者なんだよ。

経営者が無能で破産したり、刑務所に入ったりしない限り、これは絶対に止まらないよ。たとえそうなっても、完全には止まらないだろうけど、頻度や深刻度は少しは減ると思う。

故意の過失(証明が非常に難しい)や悪意のある行動がない限り、人を刑務所に入れてもあまり効果がないと思う。ほとんどのことは意図的じゃなくて、偶然起こるからね。企業にとっての金銭的な影響が抑止力になるかもしれないけど、そうなると、ファイアウォールのどこかのミスや、従業員がソーシャルエンジニアリングのトリックに引っかかって企業が破産することで、何百人、何千人が失業する可能性がある。私は、クラウドやSaaS、他のインターネット接続された情報システムは安全にできないと認めて、その使用を大幅に制限するのが道だと思う。あるいは、こういう情報が漏れても大した問題じゃないと認めること。私の名前やSSN、生年月日、住所、母親の旧姓などを知っても、何の意味もない世界を想像してみて。

ハハ、GDPRが大きなハンマーになるって信じさせようとしてたのを今でも鮮明に覚えてるよ。経営者が漏洩に責任を持つようになるってね。あの時は静かに笑ってたけど、今でも笑ってる。多分、はっきりさせておくべきことがあるね。当時それを主張してた人たちは二種類いた。私たちをガスライティングしようとしてた人たちと、そのガスライティングを本気で信じてたナイーブな人たち。重大な過失を証明するのは難しいし、裁判ではかなりの余地がある。経営者が自分の任期中にやったことに責任を持つなんて、絶対に来ないよ、残念だけど。

限定責任をなくそう。株主が被害者の経済的コストを全て負担するようにしよう。利益を得たいなら、自分の財産全てをリスクにさらすべきだ。

「2025年7月16日、悪意のある脅威者がアリアンツライフが使用している第三者のクラウドベースのCRMシステムにアクセスした」とあるけど、その「第三者のクラウドベースのCRMシステム」って一体誰なんだ?

CRMによっては、これはHIPAA違反じゃないの?

それって重要なの?彼らのシステムの技術的な違反じゃなくて、ソーシャルエンジニアリングだったんだよね。

別の記事でSalesforceがデータ所有者側でセキュリティが甘いって言われてた。ここに詳細がある別の返信もあるけど、設定ミスのSalesforceテナントがネット中にあふれてるって言っておけば十分だね。

数週間前にGoogleがSalesforceについてこれを発表したよ。 https://cloud.google.com/blog/topics/threat-intelligence/voi...

データセキュリティが不十分なことへの罰則が低すぎて、ほとんどの企業ではそのコストを払う価値がないよね。もちろん、政府は社会保障番号(SSN)を変更するのをほぼ不可能にしているのに、確認手段として使うから、ほとんどの人が今や危険にさらされている。

失ったレコードごとに1,000ポンドの罰金を義務付けるべきだよ。顧客が何百万もいる企業には致命的になるだろうし、それが正しいと思う。今は、気にしない方が安上がりで、データが盗まれた時に適当な謝罪メールを送るだけだからね。現状では、誰も気にしてないし、規制当局も何もしてない。これじゃダメだよ。イギリスでは、ICOはOfwatと同じくらい無能だよ。(無駄で危険なほど役に立たない規制機関が最近潰された) (編集: オートコレクトを修正)

記録された顧客に直接支払われる義務的な金額、セント単位のクラスアクション和解金ではなくて、これが権利を奪われた「顧客」に役立つかもしれないね。

会社の端末になるだろう この場合、影響を受けた会社の顧客はどうなるの?これって、実際に影響を受けた人たちに別の問題を押し付けることにならない?

国家経済の端末にもなるだろうね。

これよく言うんだけど、あまり人気のないアイデアで、なんでそうなのか分からない。セキュリティ研究者、ホワイトハットハッカー、さらにはグレイハットハッカーも、見つけたセキュリティの脆弱性を報告する限り、強い法的保護を受けるべきだと思う。悪者は常にセキュリティの脆弱性をスキャンしたり探ったりできるけど、それを止めるシステムはない。でも、善良な人たちが同じことをしようとすると、重罪で起訴されるんだ。経験から言うと、私たちは安全なシステムを構築できない。恥ずかしい事実かもしれないけど、私たちの大企業や組織の多くは、安全なシステムを構築する能力がないと思う。この事実を避けるために、レッドチームのセキュリティ研究者が監視することを許可していないんだよね。企業や権力のある組織にとって、すべてがうまくいっているのが面白い。彼らは「いや、私たちのシステムのセキュリティをテストすることはできない、私たちが自分たちのセキュリティに責任を持っているから、許可なしにテストできないし、データが漏れた場合も責任を持たない」と言う。結局、これらの権力ある組織は自分たちのシステムのセキュリティに責任を持っているけど、都合が良い時には責任を持たない。面白いよね。企業は自分たちのセキュリティに責任を持つべきなのか、それともこれはみんなが関与している大きなチームの努力なのか?どっちか選んでよ。国の個人データが毎週漏洩していると、みんなが関与しているように感じるよね。これは国家安全保障の問題でもあるし。国の電力網は安全なの?多分?独立した組織がこれを確認してるの?自分で電力網をハックして確認できる?(責任あるホワイトハットの方法で)?もちろん無理だよ;試みるだけで重罪になる。権力ある組織が自分たちのシステムのセキュリティの欠陥を隠すことを許可するのがデフォルトで、何もしないで、誰も自分たちのシステムのセキュリティを研究できず、誰も告発できない。私たちは文字通り、企業の便利さのために国家安全保障を犠牲にして、彼らが恥を避けられるようにしているんだ。

まあ、問題は人が物を壊すってことだよね。地域の電力網を責任を持ってハッキングするって、どうやるの?理解してないものに触れて、近所を停電させちゃったらどうするの?プライベート情報がいっぱいのシステムに責任を持ってハッキングしたって証明するにはどうすればいいの?その後、実際にはその情報を見てないって。

インターネットって、ほんと海みたいだよね。手入れされてないものは波や海の生き物に飲み込まれちゃう。なんか救助法みたいなのが必要だよ。

GoogleやFacebook、Microsoftの顧客データベースが侵害されたの見た?問題は、クソみたいな方法でソフトウェアを作ってる会社に対する影響が少なすぎるってこと。データ侵害があったら、その会社はその規模に応じて痛手を受けるべきだよ。Equifaxの侵害は、会社を潰すべきだった。罰金は数百億ドルにすべきだよ。そうすれば、ちゃんとしたソフトウェアが作られるようになって、セキュリティも大事にされるし、内部監査も(ちゃんとしたのが)行われるようになる。今のままじゃ、セキュリティに気を使う理由がゼロだよ。

これをよく言うんだけど、あまり人気のない考え方なんだよね。なんでかは分からないけど。 > セキュリティ研究者やホワイトハットハッカー、さらにはグレーなハッカーも、見つけたセキュリティの脆弱性を報告する限り、強い法的保護を受けるべきだと思う。 > 悪い奴らは常にセキュリティの脆弱性をスキャンしたり探ったりしてるけど、それを止めるシステムはない。でも、善良な人たちが同じことをしようとすると、重罪で起訴されるんだよね。つまり、捕まった時にホワイトハットの意図を主張することで、失敗した悪党に逃げ道を与えたいってこと?

もし企業が、損害を評価して長期的な罰則を科す権限を持つ規制機関からの大きな罰金など、実際の結果に直面したら、株価も影響を受けるだろう。それだけで、セキュリティを真剣に考えるようになるはずなんだけど、残念ながらほとんどの企業はそうじゃない。たいていは軽いお咎めで済んじゃうんだよね。

これをよく言うんだけど、あまり人気のない考え方なんだよね。 > などなど…私もそう思うよ、助けになるなら。

…これらの強力な組織は_____に責任があるけど、都合のいい時には責任がないこともある…このパターンは常に出てきて、すごく士気が下がるよね。

セキュリティ研究は一様じゃないよね。この話にはニュアンスがたくさんあると思う。多くの人が保護すべきだと同意することがあると思う。例えば、偶然見つけた脆弱性を報告する人たちとか。でも一方で、かなり混乱を引き起こす可能性のあるペンテスト活動もあるんだ。もし全世界にこれらの活動を自由に行わせたら、そういう活動が本来安全なシステムでも混乱を引き起こすことがある。技術が何でも解決できる分野も確かにあるけど、例えば暗号アルゴリズムみたいに。でも、技術と社会の接点では、セキュリティは法の支配や高い信頼社会に大きく依存しているんだよね。

もしウェブがもう少し匿名性があれば、セキュリティの問題に偶然気づいたり、普通にウェブサイトを使ったりすることが犯罪にならないから、こんな問題は起きないと思う。あと、データベースに保存されているものが単なる文字列じゃなくて、トークン(非対称暗号の意味で)だったら、サービスがそれを所有していることになるし、漏洩した場合でもユーザーがサービスから補償を受けられるから、この問題は解決するんじゃないかな。でも、どのビジネスもユーザーを安全にすることを証明することには興味がないんだよね。それは自己妨害になるから。結局、いつもセキュリティの見せかけだけなんだ。

面白い指摘だけど、これって悪意のあるハッカーが事前に何でもハッキングできる簡単な防御策を開くことにならない?「隙間を探してただけ」って言えば、法的には安全ってことになるよね。彼らは報告するべき脆弱性を見つけられなかったって主張できるし、気づいたことをメモしておいて、攻撃したい時に攻撃することもできる。あるいは、ずっとホワイトハットのふりをしておいて、実はその手法を誰かに売るってことも。今のシステムでは、そういうことをするのは抑止されてるけどね。

実際、アリアンツはこういったサイバー攻撃に対する保険を提供してるよ: https://www.allianz.de/aktuell/storys/cyberschutz-knoten-im-...

契約で求められてるエンドポイント保護がちゃんと機能しててよかったね。

保険も問題の一部だよね。企業は安全なソフトウェアの研究開発を支援するよりも、自分たちを保険で守る方を選ぶんだ。これが経済的に合理的な限り、何も変わらないよ。

これが顧客にとってどれだけ面倒になるかは無視して、これがいつ「コモンズの悲劇」になるのか?実際、こういったことに関する判例法は知らないんだけど。もし銀行が、ほとんどの人にとって一般的に知られている認証情報(社会保障番号や母親の旧姓など)を使って認証しているなら、漏洩があった場合、彼らは責任を持つべきじゃないの?

これは部分的にはSFの開発者が製品について十分に知らないからだけど、Salesforceがセキュリティを後回しにしてるのも原因だね。設定が悪いと、認証されてないユーザーとして2回のウェブリクエストで引き出せるデータが全部わかっちゃう。監視が全くないのも話にならないよ。Salesforceの(ほんとにひどい)ログを使って、使えるものに近いセキュリティ監視のセットアップを自分で設計しなきゃいけなかった。編集:誰かが書いたガイドがあるよ。https://www.varonis.com/blog/misconfigured-salesforce-experi... ほんと、自動化して、リコンの最後にSFサイトを見つけるために投げることもできるよ。俺はやったことある。

ソーシャルエンジニアリングがどうやって起こったのかは、記事に書かれている可能性(ヘルプデスクに電話すること)を除いてよく分からない。でも、利用される可能性のある企業情報はたくさんあるよ。例えばLinkedInはソーシャルエンジニアリングの宝の山だし、たとえつながりがなくても、ログインしているユーザーからプロフィールを見られないようにする方法はないんだ。もっと多くの雇用主が自社の従業員のプロフィールをしっかり監査しないのが不思議だよ。