アメリカの大手保険会社「アリアンツ・ライフ・インシュアランス・カンパニー・オブ・ノースアメリカ(Allianz Life)」が、外部からの不正アクセスによって、顧客や従業員の個人情報が大量に流出したと発表。
公表では2025年7月16日に、外部のクラウドサービスを利用していた顧客管理システム(CRM)に対し、悪意のある第三者による不正アクセスがあったという。
CRM(Customer Relationship Management)は、顧客情報を管理し、営業やサポート活動を支援するシステムで、顧客情報や金融関係者、一部社員の個人情報が含まれていたという。
被害状況
流出したのは、個人を特定できる情報(PII:Personally Identifiable Information)で、名前、連絡先、生年月日などが含まれているとみられている。
現時点で正確な被害人数は明かされていませんが、同社の顧客数は約140万名にのぼるため、大規模な被害となる恐れが懸念されている。
なお、アリアンツ・ライフは、保険契約などを管理する自社のシステムには侵入の痕跡はないと説明している。
今回のサイバー攻撃では、「ソーシャルエンジニアリング」と呼ばれる手法が使われた。
これは、従業員やサポート担当者を電話などで巧みにだまし、IDやパスワードを不正に入手する手口で、近年急増しているサイバー犯罪の一種。
犯行グループは「ShinyHunters」か
アメリカの複数の報道機関によると、今回の攻撃には国際的なハッカー集団「ShinyHunters(シャイニーハンターズ)」が関与している可能性があるという。
このグループは、過去にも大手企業のデータを盗み出して身代金を要求するなど、多数のサイバー攻撃を行ってきた。
また、最近では業務支援ソフト「Salesforce(セールスフォース)」を悪用し、企業のCRMデータを盗み出す新手の手口も確認されている。
保険業界で相次ぐ被害
アリアンツ・ライフに限らず、ここ数か月で保険会社を狙った大規模なサイバー攻撃が相次いでいる。
6月にはアフラックやErie保険、7月にはPhiladelphia Indemnity保険が同様の被害を公表している。
Googleのセキュリティ研究チームは、これら一連の攻撃に「Scattered Spider(スキャタード・スパイダー)」と呼ばれる集団が関与していると警告。
保険業界全体がサイバー攻撃のターゲットになっているとみられている。
今後の対応と注意点
アリアンツ・ライフは、影響を受けた人への通知を2025年8月1日頃から順次開始すると公表。
該当する可能性のある顧客や従業員は、不審な連絡や不正利用に十分な警戒が必要とされている。
また、身に覚えのないログイン履歴や、保険情報へのアクセス記録がないかを確認し、必要に応じてパスワードの変更や信用情報機関への監視依頼なども検討するべきとしている。
【参考記事】
https://techcrunch.com/2025/07/26/allianz-life-says-majority-of-customers-personal-data-stolen-in-cyberattack/
https://www.bleepingcomputer.com/news/security/allianz-life-confirms-data-breach-impacts-majority-of-14-million-customers/