Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

アフラックの個人情報漏えい

アフラックの代理店のメールアカウント経由で顧客の個人情報が漏えいしたようです。

www.wxyz.com

 

記事を見ると、5/25にアフラックとCAIC(Continental American Insurance Company)がリリースを出したとあるのですが、原文は探しきれませんでした。2018年1月17日~4月2日の間にメールアカウントへの不正なアクセスを受け、顧客の個人情報(名前、住所、生年月日、社会保障番号、銀行口座情報)が、営業代理店の少数のアカウントから漏えいしたと発表。

会社(アフラック)は、パスワードリセットをすぐに実施し、特定のメールアカウントを隔離し、侵害を受けた保険営業代理店にコンタクトを取ったとの事。その後サードパーティフォレンジックチームと契約し事件を調査中。

 

 

◆キタきつねの所感

こうしたケースがサプライチェーンが狙われるというケースに当たるのだと思います。パスワードリセットをした後で当該代理店に連絡を取ってますので、侵害を受けたのは、アフラックのメールシステムであった事が推測できます。

(以下状況からの推測)IDとパスワードが漏えいして、そのログイン情報を使われて不正にメールを閲覧され、そこに顧客の個人情報があった、そんな事件であるようです。だとすれば、2つの脆弱点を狙われたと言えるかも知れません。

1つは営業代理店に対する教育不足。パスワードが漏えいしていたのだとすると、アフラックが自社のサプライチェーンを守るために、もっと出来る事があったのではないかという事です。事件の経緯が今回と同じではありませんが、日本のアフラックでも2011年に代理店から顧客情報が漏えいしています。そう考えると、サードパーティのWeakest Link(一番弱い鎖)として代理店のセキュリティを(もっと)強化する必要性があった可能性があります。

scan.netsecurity.ne.jp

2点目は、毎回書いている気がしますが、(代理店)の外部アクセスに対する多要素認証が入ってない事でしょうか。せめてアクセスする端末を限定する、例えばIPアドレス制限などがあれば、こうした事件の多くは防げる気がします。パスワードだけにセキュリティの多くを任せるのはもう限界である、その認識を上位の会社が持たない限り、サプライチェーン潜在的脆弱性はずっと残り続ける、この事件もそうした事を示唆していると思います。

 

おまるのイラスト(赤ちゃん)

 

更新履歴

  • 2018年6月3日AM(予約投稿)