概要

米国14州で自動車保険や賃貸保険を提供するAssuranceAmerica(1998年設立、9,500以上の独立代理店を通じて事業展開)は、従業員を標的としたフィッシング攻撃を起点とする不正アクセスにより、約699万人(6,998,886人)分の個人情報が流出したことを明らかにした。攻撃者は2026年3月16日から17日にかけて従業員の認証情報を侵害してIT環境の一部に侵入し、氏名、連絡先情報、運転免許証番号、保険契約・口座情報、車両情報、保険金請求関連の記録を含むファイルをコピーして持ち出した。2026年内に発覚した運転免許証データ漏えい事案としては最大級の規模とされている。

経緯と対応

侵害の発覚は2026年3月17日で、流出したファイルの精査には侵害の規模と対象文書の性質から6月15日までかかった。AssuranceAmericaは侵害された認証情報の無効化と攻撃者の排除、システムの隔離、法執行機関への通報、監視体制の強化、パスワードリセット、従業員向けセキュリティ研修の実施といった対応を取ったと説明している。通知書簡は7月10日前後に対象顧客へ発送され、メイン州司法長官室をはじめ各州の司法長官事務所にも侵害の届け出が行われた。一方で同社は攻撃者からの身代金要求の有無や交渉の経緯についての問い合わせには応じておらず、公式な声明も限定的なままとなっている。現時点で法執行機関やセキュリティベンダーからこの攻撃を特定の脅威アクターやランサムウェアグループ、国家主体と関連付ける報告は出ていない。

技術的な詳細とリスク

侵入の起点は単一の従業員に対する標的型フィッシング攻撃だったとされ、これにより窃取された認証情報を使ってIT環境の一部へのアクセスが可能になった。流出データの中でも運転免許証番号は、なりすましやローン詐欺、口座乗っ取りといった二次被害につながりやすい情報として特に懸念されている。セキュリティ専門家は影響を受けた利用者に対し、強固でユニークなパスワードへの変更、可能であればFIDO2準拠の二要素認証の有効化、なりすまし詐欺への警戒、信用情報や本人確認の監視サービスの利用検討、オンラインサービスへのクレジットカード情報保存を避けることなどを推奨している。

業界全体への影響

今回の事案は、保険業界を狙ったサイバー攻撃が相次いでいる中で発生した。直近では大手保険会社Aflacの子会社が侵害され約438万人の顧客情報が流出したことが公表されたばかりであり、保険会社が保有する運転免許証番号や保険契約情報といった機微なデータが攻撃者にとって引き続き高い価値を持つ標的であることを示している。さらに、テキサス州政府機関での約300万件の免許証データ漏えいや、ホテルのチェックインシステム、送金アプリ、ビザ申請ポータルなど、身分証明書のアップロードを求めるサービスを狙った同種の侵害が近年相次いでおり、年齢確認規制の広がりとともに本人確認書類のデジタル保管が新たな攻撃対象になりつつある実態が浮き彫りになっている。