世界を動かす技術を、日本語で。

アリアンツ・ライフ、サイバー攻撃で顧客の個人データの「大多数」が盗まれたと発表

2025年7月28日原文(techcrunch.com)

概要

  • Allianz Life が2025年7月中旬に大規模な 情報漏洩 を確認
  • 顧客・金融専門家・従業員の 個人情報 が流出
  • 第三者クラウドCRMシステム への不正アクセスが原因
  • FBI への通報済み、他システムへの影響は未確認
  • 同業他社も含め 保険業界全体 を狙うサイバー攻撃の一環

Allianz Life大規模情報漏洩事件の概要

  • 2025年7月16日、Allianz Lifeの 第三者クラウドCRMシステム がハッキング被害
  • 攻撃者が 社会工学的手法 でシステムに侵入、 顧客・金融専門家・一部従業員 の個人情報を窃取
  • Brett Weinberg (Allianz Life広報担当)がTechCrunchの取材で事実を認める
  • 被害規模は 顧客1.4百万人 以上、親会社Allianzは世界で 1億2千5百万人 の顧客基盤
  • 漏洩した情報件数 は未公表、 Maine州司法長官への法的報告 で事件を公表
  • FBIに通報済み、自社ネットワークの他システムへの侵害証拠はなし
  • 攻撃者からの 身代金要求や犯行声明 の有無は非公開
  • 犯行グループの特定 も現時点で公表せず
  • 2025年8月1日頃 から被害者への通知を開始予定

保険業界へのサイバー攻撃の広がり

  • 今回の事件は、 保険業界全体 を標的とした サイバー攻撃の波 の一部
  • Aflac など他の大手保険会社も同様の被害
  • Googleのセキュリティ研究者 によると、「 Scattered Spider」と呼ばれるハッカー集団が関与の可能性
    • 社会工学的手法で ヘルプデスクを騙し、システムアクセス権を取得
  • 過去には小売、航空、運輸、シリコンバレーのIT企業 も標的に

追加情報・連絡先

  • Zack Whittaker(TechCrunchセキュリティ編集者) が取材を担当
    • Signal(zackwhittaker.1337) または メール(zack.whittaker@techcrunch.com) での情報提供を呼びかけ

Hackerたちの意見

こういうデータ漏洩が続くのは、インセンティブを改善すれば減らせると思うけど、難しいよね。完全に止めることはできないし、人間はミスをするし、大勢の人が集まるとさらにミスが増える。でも、だからって試みないわけにはいかないと思う。私が考えるに、もう一つのアプローチは、影響を少しでも軽減することだね。誕生日や名前、住所、電話番号、メールアドレス、社会保障番号(SSN)などがプライベートだと思わない方がいいよ。人々が「アイデンティティを盗む」ために使う手段を封じるべきだ。アイデンティティを盗むって言葉が嫌いなんだよね。被害者が何かミスをしたせいでそうなったみたいに聞こえるから。でも実際は、企業が取引先の身元を確認するのを怠っただけなんだよね。責任はその企業にあるべきだと思う。もし銀行が私の名前であなたにローンを貸したら、それは彼らの問題であって、私の問題じゃない。そうなれば、問題はほぼ一晩で消えると思う。企業は人を確認するのに厳しくなるだろうし、そうしないとお金を失うからね。インセンティブが一致するんだ。アイデンティティ盗難はデータ漏洩の唯一の問題じゃないけど、比較的対処しやすい問題だと思う。

アイデンティティを盗むって言葉が嫌いなんだよね。被害者が何かミスをしたせいでそうなったみたいに聞こえるから。でも実際は、企業が取引先の身元を確認するのを怠っただけなんだよね。責任はその企業にあるべきだと思う。これを楽しめるかもよ: https://www.youtube.com/watch?v=CS9ptA3Ya9E

この終わりのないデータ漏洩は、インセンティブを改善すれば減らせるかもしれないけど、それは難しいね。正直、データ漏洩の被害がそれを排除するコストを上回るかは不明だよ。国家安全保障に関しては、そこがはっきりしてると思うけど。

解決策はすでにあるんだよ:MFAとIdP連携。知っている要素(データ)と、持っている要素、または自分自身(生体認証)を組み合わせる感じ。IdPが両方の要素を発行して、身分確認が連携されるんだ。運転免許証を提出する必要があるときに似たようなことが起こるけど、技術的には自分のもので、政府のシステムで確認されれば連携されたIDになる。でも、知識要素だけで簡単に偽造できるんだよね。残念ながら、ここでは銀行や政府が第二の要素に顔認証を使っていて、プライバシーの問題が大きい。おそらく連邦政府が唯一のIdPになる傾向があると思う。非生体要素はスケールで実用的な難しさがあるかもしれないけど、指紋の方が顔よりは良いと思う。ほとんどの国で既に導入されていて、簡単に連携できるはず。完璧ではないけど、代替案よりはマシだと思う。

身分盗用って言葉は、自分が何か悪いことをしたせいでそうなったとは思わないな。何かを盗まれたからって、それが自分のせいだとは限らないよ。誰かが銀行の金庫に侵入してお金を盗んだら、それはあなたの責任とは見なされないよね。サイバーセキュリティの課題は、あなたの身分を盗もうとしている人が世界の反対側にいる可能性があることなんだ。それが理由で、エンドユーザーができるだけ安全でいることに焦点が当たるんだ。でも、何かを盗まれたら、あなたはやっぱり被害者なんだよ。

経営者が無能で破産したり、刑務所に入ったりしない限り、これは絶対に止まらないよ。たとえそうなっても、完全には止まらないだろうけど、頻度や深刻度は少しは減ると思う。

故意の過失(証明が非常に難しい)や悪意のある行動がない限り、人を刑務所に入れてもあまり効果がないと思う。ほとんどのことは意図的じゃなくて、偶然起こるからね。企業にとっての金銭的な影響が抑止力になるかもしれないけど、そうなると、ファイアウォールのどこかのミスや、従業員がソーシャルエンジニアリングのトリックに引っかかって企業が破産することで、何百人、何千人が失業する可能性がある。私は、クラウドやSaaS、他のインターネット接続された情報システムは安全にできないと認めて、その使用を大幅に制限するのが道だと思う。あるいは、こういう情報が漏れても大した問題じゃないと認めること。私の名前やSSN、生年月日、住所、母親の旧姓などを知っても、何の意味もない世界を想像してみて。

ハハ、GDPRが大きなハンマーになるって信じさせようとしてたのを今でも鮮明に覚えてるよ。経営者が漏洩に責任を持つようになるってね。あの時は静かに笑ってたけど、今でも笑ってる。多分、はっきりさせておくべきことがあるね。当時それを主張してた人たちは二種類いた。私たちをガスライティングしようとしてた人たちと、そのガスライティングを本気で信じてたナイーブな人たち。重大な過失を証明するのは難しいし、裁判ではかなりの余地がある。経営者が自分の任期中にやったことに責任を持つなんて、絶対に来ないよ、残念だけど。

限定責任をなくそう。株主が被害者の経済的コストを全て負担するようにしよう。利益を得たいなら、自分の財産全てをリスクにさらすべきだ。

「2025年7月16日、悪意のある脅威者がアリアンツライフが使用している第三者のクラウドベースのCRMシステムにアクセスした」とあるけど、その「第三者のクラウドベースのCRMシステム」って一体誰なんだ?

CRMによっては、これはHIPAA違反じゃないの?

それって重要なの?彼らのシステムの技術的な違反じゃなくて、ソーシャルエンジニアリングだったんだよね。

Hacker Newsで議論の続きを見る