米国に拠点を置く世界的な保険会社であるアーサー・J・ギャラガー(AGG)は、2020年9月下旬にシステムを襲ったランサムウェア攻撃を受け、影響を受ける可能性のある個人に違反通知書を郵送していたことが判明しました
AJGは、「サイバーセキュリティおよびフォレンジックの専門家と協力して、何が起こったのか、どのような情報が影響を受けたのかを確認した結果、2020年6月3日から2020年9月26日の間に、未知の人物が当社のネットワークの特定のセグメント内に含まれるデータにアクセスまたは取得したと判断しました」と述べています。
AJGは、世界最大級の保険ブローカーとして、33,300人以上の従業員を雇用し、49カ国で事業を展開しています。
また、Fortune 500リストでは429位にランクインしており、150カ国以上の顧客に保険サービスを提供しています。
攻撃で流出した個人情報、財務情報、健康情報
AJGは、ランサムウェア攻撃を発表したレポートにおいて、顧客や従業員のデータが攻撃者によってアクセスされたり、盗まれたりしたかどうかについては言及していませんでしたが、その後の調査で、侵害されたシステムに保存されていた複数の種類の機密情報があったことを報告しています。
調査中に侵害されたシステムで発見された情報の種類は以下の通りです。
社会保障番号または納税者番号、運転免許証、パスポートまたはその他の政府機関の識別番号、生年月日、ユーザー名とパスワード、従業員識別番号、金融口座またはクレジットカード情報、電子署名、医療行為、請求、診断、投薬またはその他の医療情報、健康保険情報、医療記録または口座番号、生体情報
今回の事件でアクセスされた可能性のある機密データの種類は、AJGはプライバシーポリシーの中で、顧客から以下の情報を収集していると述べています。
- 個人情報(例:氏名、生年月日など
- 連絡先情報(電話番号、電子メールアドレス、住所、携帯電話番号など
- 政府発行の身分証明書の詳細(例:社会保障番号、国民保険番号、パスポートの詳細)。
- 健康および医療に関する情報(例:健康診断書
- 保険契約の詳細(例:保険番号と種類
- 銀行の詳細(例:支払いの詳細、口座番号、ソートコード)。
- 運転免許証の詳細
- オンラインでのログイン情報(例:ユーザー名、パスワード、セキュリティ質問への回答
- クレームに関連する情報
- その他、申込書や必要なアンケートから得た情報(例:職業、現在の勤務先など
AJGは現在、法律で定められている通り、規制当局および影響を受ける可能性のあるすべての個人(提供された情報によると7,376人)に通知しています。
また、個人情報漏洩のリスクについても警告しており、口座明細やクレジットレポートに異常な動きがないか注意することを推奨しています。
なお、AGG社では個人情報が悪用されたという事実はないとしていますが、今回の事件で個人情報が影響を受けた方には、クロール社を通じて24ヶ月間、信用監視サービスを無償で提供すると述べています。
AJGはすべてのシステムをシャットダウンし、攻撃を阻止
AJGは、2020年9月28日に米国証券取引委員会(SEC)に提出した8-Kファイリングの中で、ランサムウェア攻撃の影響を受けたのは、限られた数の社内システムのみであったと述べています。
AJGは、「当社は、予防措置として全世界のシステムを速やかにオフラインにし、対応プロトコルを開始し、調査を開始し、外部のサイバーセキュリティおよびフォレンジックの専門家のサービスを利用し、顧客への混乱を最小限に抑えるために事業継続計画を実施しました」と述べています。
Bad Packets社のチーフリサーチオフィサーであるTroy Mursch氏によると、同社のネットワーク上にはランサムウェアの攻撃を受ける前、CVE-2020-5902に対して脆弱な2台のF5 BIG-IPサーバーが存在していたことを確認していると述べています
現時点では、この攻撃の背後にあるランサムウェアグループはまだ不明ですが、20種類以上のランサムウェアグループは、ツールを展開する前にまず被害者のサーバーから機密ファイルを盗むことが知られています。
この盗んだデータを盾にして、情報が徐々に漏れるという脅しをかけて、被害にあった組織に身代金の支払いを迫ります。
場合によっては、ランサムウェアグループは特別に設計されたサイトでリークするまで、身代金を増額することもあります。
Comments