Cyber Security Intelligence Vox

サイバーセキュリティ総研によると『損害保険会社「共栄火災海上保険」社において、情報流出の可能性が判明した。』と報じている。

さらに報道によると『情報流出は業務委託先である「東京損保鑑定」社で発生。2024年8月29日に同社のサーバー内のファイルが閲覧不能となり、外部の専門機関による調査の結果、ランサムウェア攻撃を受けていたことが判明した。』と報じている。

サプライチェーンに対するサイバーセキュリティ攻撃による情報漏えい事案はいくつか発生していますが、保険会社でも発生してしまっています。

この報道を見た限りでは、システム障害の原因追及したところ、サイバーセキュリティ侵害が発生していたことが判明すると見えます。つまり侵入検知すらされていないという事になります。

この事案の様に、業務委託先のうち、重要な情報を受け渡す様な場合の、相手先のサイバーセキュリティ状況の確認は必須の事項となっている状況にあると思います。

委託先の監査まで実施するかどうかは契約などの関係性にもよりますが、最低でもセキュリティポリシーの提出を求めるぐらいは必要だと思います。セキュリティポリシーも出せない会社は論外として、少なくとも委託先の状況は見えると思います。

https://cybersecurity-info.com/news/kyoei-fire-marine-insurance-ransomware-damage/

被保険者224件分の情報がランサムウェア被害　サーバー内ファイルが閲覧不能【共栄火災海上保険】

https://www.kyoeikasai.co.jp/info/info20250207.pdf

当社業務委託先鑑定会社における不正アクセスに伴う情報漏えいのおそれについて