個人情報を盗み、7カ月以上雲隠れしたサイバー脅威、その後どうなった?
サイバー攻撃を受け個人情報が企業から漏えいする事例は珍しくない。顧客に連絡し、原因を究明し、対策を取るのは当然だ。ビジネスにも影響が出るだろう。だが、それだけでは済まなくなってきた。
企業はビジネスに利用するためにさまざまな個人情報を保管している。もしもサイバー攻撃を受けて個人情報が漏えいした場合、何が起こるのだろうか。
漏えいした場合、企業の評判が落ち、ビジネスに影響が出るだけでは済まされない。
情報を盗み、7カ月以上雲隠れしたサイバー脅威はどうなった?
以降で紹介するのは、ある自動車保険企業が被害に遭った厄介な事例だ。
ニューヨーク州は2024年11月25日(現地時間)、自動車保険企業2社に対して合計1130万ドルの罰金を科したと発表した。罰金の対象となったのはThe Government Employees Insurance Company(GEICO)とThe Travelers Companies(Travelers)だ。両社のデータセキュリティ対策が不十分だったことが原因で、攻撃者に12万人分の個人情報を盗まれたことが理由だ(注1)。
ニューヨーク州の司法長官レティシア・ジェームズ氏とニューヨーク州金融サービス局の長官エイドリアン・ハリス氏は、顧客の個人情報を適切に保護できなかったとして、GEICOとTravelersに対し罰金を科した。本件は和解が成立しており(注2)、GEICOは975万ドル、Travelersは155万ドルの罰金を支払うことになった。
ジェームズ氏は、声明で次のように述べた。
「GEICOとTravelersは緊急時にドライバーを保護するサービスを提供しているが、これらの企業は契約者の個人情報を守れなかった。データ漏えいは深刻な詐欺につながる可能性があり、全ての企業がサイバーセキュリティとデータ保護に真剣に取り組む必要がある」
そもそもの経緯は、2020年末にGEICOの自動車保険見積もりツールを標的とした一連のサイバー攻撃と、2021年初めにTravelersの同様のツールに対する攻撃が発端だ。
ニューヨーク州の当局は、GEICOが見込み客の運転免許証番号を内部システムで適切に保護していなかったと主張した。攻撃者はGEICOの保険代理店向け見積もりツールの脆弱(ぜいじゃく)性を悪用し、最終的にニューヨーク州の住民11万6000人分の個人情報を盗んだという。
盗み出された個人情報はどう悪用されたのか
攻撃者は不正に入手した認証情報を使用して、2021年4月にTravelersの代理店ポータルにアクセスした。このポータルは多要素認証で保護されていなかった。州当局によると、この侵害は7カ月以上発見されず、ニューヨーク州の住民約4000人の個人情報が盗まれる結果につながった。
ニューヨーク州の当局によると、攻撃者は盗み出した運転免許証番号の一部を使用し、COVID-19のパンデミック中の失業保険に関する不正な申請に至ったという。
和解の一環として、GEICOとTravelersは、ログの管理および認証を用いた個人情報の保護、脅威への対応手順の強化などを通じてサイバーセキュリティ対策を強化することに同意した。
Travelersの広報担当者は、次のように述べた。
「全てのステークホルダーの情報を保護することが最優先事項であり、今後も独立系代理店と連携し、同様の事態を防ぐための取り組みを続けていく」
Travelersの広報担当者は、今回の件で同社の内部システムには影響がなかったと付け加えた。また、GEICOは今後の攻撃を防ぐための対策に取り組んでいるという。
GEICOの広報担当者は、次のように述べた。
「この問題が判明した際、当社はニューヨーク州の当局に自主的に報告し、これらの詐欺行為によるさらなる悪用を防ぐためにシステムを改善した。当社はデータセキュリティを非常に重視しており、今回の問題以降、サイバーセキュリティプログラムをさらに強化するために多大なリソースを投入している」
なお、GEICOの社名には「Government」という単語が含まれているが、同社は民間企業であり、政府機関の一部になったことはない。
出典:New York fines Geico, Travelers $11.3M for pandemic-era breaches(Cybersecurity Dive)
注1:Attorney General James and DFS Superintendent Harris Secure $11.3 Million from Auto Insurance Companies over Data Breaches(New York State)
注2:ASSURANCE OF DISCONTINUANCE(ATTORNEY GENERAL OF THE STATE OF NEW YORK)
関連記事
3億人分の情報漏えい事件から見えた、金銭では済まない代償とは
3億人以上が対象となった個人情報漏えい事件が決着を迎えた。個人情報漏えいに対しておわびだけで済ませる事例が多い中、多額の罰金が科せられた。だが罰金だけでは済まなかった。
サイバー関連専門の法律事務所 サイバー攻撃で個人情報が多数漏えい
製造業や小売、金融、IT、インフラなどサイバー攻撃の範囲は広がる一方だ。今度は法律事務所が狙われた。それもサイバー関連を専門で扱う事務所だ。どのような被害があったのだろうか。
資産運用会社から個人情報が大量流出【セキュリティ注目トピック】
個人情報を扱う企業は、情報の流出を防ぐためにさまざまな対策を立てている。だが、攻撃者は各種の手法を織り交ぜて攻撃を仕掛けてくる。どうすれば対策を改善できるだろうか。
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。
- あなたのパスワードが危ない
- Copilotの利用率が爆上がり それでも利用しない企業の叫び【M365の利用実態】
- 全く故障しなかったHDDブランドはどれ? 表で分かるHDDの故障率【調査】
- 2023年もWindows 11は「様子見」、Microsoftの“賭け”が失敗した原因は?
- Zoom WorkplaceはZoomと何が違う? 変更とメリットを総整理
- Microsoft 365の個人プランが値上げ 回避することはできないのか
- PCカメラの乗っ取り、実は簡単? こっそりハックする手口を暴露:807th Lap
- ChatGPTが突然バグる、入れてはいけない「NGワード」とは?:809th Lap
- Sansanの大規模プロジェクトの情報共有にNotionを選んだ理由
- OneDriveやSharePointではだめなのか? 脱ファイルサーバ先を徹底比較
ITmediaはアイティメディア株式会社の登録商標です。