チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「2265万人って、もう国家規模の漏洩でしゅよね?」
「Scattered SpiderがIT職員になりすますって、ヘルプデスクは何を見分ければいいんでしゅか?」
チップスうちの会社もコールセンターやヘルプデスクが大きいでしゅ……同じことが起きないか不安でしゅ。
ボスふふふ、攻撃の入口は技術ではなく「人」だな。Aflacが数時間で気付けた理由と、それでも止まらなかった理由の両方を見ていくぞ。
本記事では米Aflacの2265万人規模の情報漏洩事件と、Scattered Spiderが多用するヘルプデスク悪用手口、日本企業が取るべき備えを整理します。
読み終える頃には、ヘルプデスクとID管理の弱点を埋める判断材料が手に入ります。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
まずはAflacが正式に公表した内容と、攻撃の時系列を整理します。
米保険大手のAflacは、2025年6月に検知したサイバー攻撃の調査を完了し、約2265万人分の個人情報が侵害された可能性があると公表しました。
対象は顧客・受益者・従業員・代理店に及び、氏名や連絡先に加えて、保険請求情報・健康情報・社会保障番号(SSN)といった機微な情報が含まれます。
Aflacは「異常検知から数時間以内に侵入を遮断した」と説明していますが、その短時間でファイルは持ち出され、ランサム化はされなかったものの大量のデータが外部に流出しています。
被害者には2年間のID保護サービスが提供され、登録期限は2026年4月18日とされています。
事件の主な数字をまとめると以下のとおりです。
| 項目 | 内容 |
|---|---|
| 影響人数 | 約2265万人(顧客・受益者・従業員・代理店) |
| 主な漏洩情報 | 氏名、連絡先、保険請求、健康情報、社会保障番号 |
| 侵入時期 | 2025年6月(検知後、数時間で遮断) |
| 攻撃グループ | Scattered Spider関与の指摘あり |
| 事業影響 | ランサム被害なし、業務システムは継続稼働 |
チップス数時間で止めても、ファイルは抜かれた後だったってことでしゅか……。
ボスああ、検知の早さと「データ持ち出しの早さ」は別物だ。今のScattered Spider系は数十分でデータを引き抜く前提で備える必要があるな。
本件で特に注目すべきは、攻撃の入り口がシステムの脆弱性ではなく「人」だった点です。
Scattered Spiderは社員や委託先のIT担当者を装ってヘルプデスクへ電話・チャットし、パスワードリセットや多要素認証(MFA)の再登録をさせる手口で知られています。
正規ユーザのIDをそのまま乗っ取れるため、EDRやSIEMから見ると「本人のログイン」に見え、検知が後手に回りやすいのが厄介な点です。
日本企業でも、コールセンターや業務委託先を多く抱える保険・金融・通信事業者は同じ攻撃面を持ちます。
身元確認手順の再設計と、MFA再登録時の追加承認フローが、技術対策とセットで欠かせません。
今日からでも進められる対策は以下のとおりです。
チップスうちのヘルプデスクは「すぐ対応」を売りにしてるから、承認プロセスを増やすのは反発が出そうでしゅ……。
ボスそこは経営層巻き込みの説得が肝心だ。2265万人規模の漏洩コストを並べれば、数分の追加手順は十分割に合う投資だと理解されるはずだぞ。
Aflac事件は、最新のセキュリティ製品を導入していても「人を介した侵入」が成立しうることを改めて示しました。
2265万人規模の漏洩と健康情報・SSNまで含む内容は、保険・金融・医療といったセンシティブ情報を扱う業界全体への警告です。
ヘルプデスクの本人確認・MFA再登録手順・委託先統制を3点セットで見直し、技術と運用の両輪で「なりすまし」を弾く体制が問われています。
こうした人と仕組みの両面に踏み込む実務に挑みたい方は、ぜひセキュリティフリーランス案件で現場改善に関わってみてください。
参考: Security Affairs「Aflac confirms June data breach affecting over 22 million customers」 / The Record「More than 22 million Aflac customers impacted by June data breach」
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
