アフラックの代理店のメールアカウント経由で顧客の個人情報が漏えいしたようです。
www.wxyz.com
記事を見ると、5/25にアフラックとCAIC(Continental American Insurance Company)がリリースを出したとあるのですが、原文は探しきれませんでした。2018年1月17日~4月2日の間にメールアカウントへの不正なアクセスを受け、顧客の個人情報(名前、住所、生年月日、社会保障番号、銀行口座情報)が、営業代理店の少数のアカウントから漏えいしたと発表。
会社(アフラック)は、パスワードリセットをすぐに実施し、特定のメールアカウントを隔離し、侵害を受けた保険営業代理店にコンタクトを取ったとの事。その後サードパーティのフォレンジックチームと契約し事件を調査中。
◆キタきつねの所感
こうしたケースがサプライチェーンが狙われるというケースに当たるのだと思います。パスワードリセットをした後で当該代理店に連絡を取ってますので、侵害を受けたのは、アフラックのメールシステムであった事が推測できます。
(以下状況からの推測)IDとパスワードが漏えいして、そのログイン情報を使われて不正にメールを閲覧され、そこに顧客の個人情報があった、そんな事件であるようです。だとすれば、2つの脆弱点を狙われたと言えるかも知れません。
1つは営業代理店に対する教育不足。パスワードが漏えいしていたのだとすると、アフラックが自社のサプライチェーンを守るために、もっと出来る事があったのではないかという事です。事件の経緯が今回と同じではありませんが、日本のアフラックでも2011年に代理店から顧客情報が漏えいしています。そう考えると、サードパーティのWeakest Link(一番弱い鎖)として代理店のセキュリティを(もっと)強化する必要性があった可能性があります。
scan.netsecurity.ne.jp
2点目は、毎回書いている気がしますが、(代理店)の外部アクセスに対する多要素認証が入ってない事でしょうか。せめてアクセスする端末を限定する、例えばIPアドレス制限などがあれば、こうした事件の多くは防げる気がします。パスワードだけにセキュリティの多くを任せるのはもう限界である、その認識を上位の会社が持たない限り、サプライチェーンの潜在的脆弱性はずっと残り続ける、この事件もそうした事を示唆していると思います。
更新履歴
