米保険会社から110万人の個人情報流出、DBに不正アクセス

米健康保険大手のCareFirstのITシステムが何度も集中的にスキャンされ、氏名や電子メールアドレスなどの情報が流出した可能性がある。

[鈴木聖子，ITmedia]

サイバー攻撃で情報漏えいが発覚したCareFirst

　米健康保険大手のCareFirst BlueCross BlueShieldは5月20日、高度なサイバー攻撃の被害に遭って、保険加入者や元加入者約110万人の個人流出が流出した可能性があるたことが分かったと発表した。

　発表によると、CareFirstでは健康保険業者に対するサイバー攻撃が相次いだことを受け、サイバーセキュリティ対策を手掛けるMandiantに委託して社内のIT環境を調査した。

　その結果、CareFirstのITシステムが何度も集中的にスキャンされていたことが判明。データベースが不正アクセスされ、CareFirstのWebサイトに登録したユーザーの氏名や誕生日、電子メールアドレス、登録者識別番号が流出した可能性があることが分かった。

　不正アクセスされたのは2014年6月で、その前後に攻撃された形跡や、他の個人情報が流出した痕跡は見つからなかったとしている。ユーザーのパスワードは暗号化されて別のシステムに保存されていた。社会保障番号や医療保険申請内容、クレジットカード番号なども、不正アクセスされたデータベースには保存されていなかったという。

　CareFirstは2014年6月20日までにCareFirstのWebサイトに登録した加入者や元加入者110万人のアカウントを停止して、新しいユーザー名とパスワードの登録を促している。また、クレジットモニタリングやなりすまし被害防止などのサービスを2年間無料で提供すると表明した。