Cyber Security Intelligence Vox

ScanNetSecurityは『ニューヨーク州は、非常に不適切な設計の Web サイトを運営し、誰でも容易に個人情報を平文で探せる状態だったとして、オールステート保険を提訴した。』と報道している。

『データが盗まれたのは、オールステートのナショナル・ジェネラル・ビジネス・ユニットが運営していた、保険の見積もりを希望する消費者向けの Web サイトだ。名前と住所をもとにしてレクシスネクシス・リスク・ソリューションズのデータベースを用いて、運転免許証番号や住んでいる可能性のある運転者全員の氏名含む検索結果が画面に現れる。犯罪者はこのシステムを利用して、詐欺の目的で他人の個人情報を収集していた。』

『この見積もりツールを悪用したデジタル窃盗犯は、「パンデミックや失業手当の不正請求」を行ったとされている。』ということなので、単なる情報漏洩ではなく、悪用されてしまったという事になります。

公的な手続きに使われるデータが掲載されているデータベースをオープンにしてしまう感覚が理解出来ませんが、適切な形にするコストを投資せずに放置したというのが提訴の原因です。

ここまでではないにせよ、必要な投資を行わずにランサムウェア被害を発生させた企業はかなりの数に上っており、経営責任が問われる事態も一部に見られます。今後は提訴されるという事も念頭に置いたリスク管理が必要な時代となるでしょう。

https://scan.netsecurity.ne.jp/article/2025/04/17/52700.html

米保険大手 州から提訴される「原因はWebサイト、より大きい原因はセキュリティより利益を優先したこと」