米国でマーケットシェア2位の自動車保険会社Geico(ガイコ)は、同社ウェブサイトから顧客の運転免許証番号を不正取得できるセキュリティバグを修正した。
Geicoは、カリフォルニア州司法長官事務所に提出したデータ漏洩の通知の中で、他の情報源から収集された情報が「当社ウェブサイトのオンライン販売システムを通じて、顧客の運転免許証番号に不正アクセスするために使用された」と述べている。
保険業界の大手である同社はデータ漏洩の影響を受けた顧客の数については明らかにしてないが、不正行為者は2021年1月21日から3月1日の間に顧客の運転免許証番号にアクセスしたという。企業は500人以上の州民がセキュリティインシデントの影響を受けた場合、州の司法長官事務所に通知することが義務付けられている。
Geicoは「この情報が、お客様の名義で不正に失業手当を申請するために使用される可能性があると信じるに足る理由」があったと述べている。
経済的動機に基づく犯罪者の多くは、盗んだアイデンティティやデータを使って政府機関を標的にする。しかし米国の多くの州では、失業手当の受給申請に運転免許証のような政府発行IDが必要となる。運転免許証の番号を取得するために、不正行為者は公開データや過去に侵害されたデータを利用し、自動車保険ウェブサイトの弱点を突いて、顧客の運転免許証番号を取得する。これにより、不正行為者は他人の名前で失業手当を得ることができる。
2021年初め、サンフランシスコに拠点を置く保険スタートアップのMetromile(メトロマイル)は1月にバグが修正されるまでの6カ月間、同社ウェブサイトのバグが運転免許証番号の取得に利用されていたことを認めた。
失業手当を申請していないのに州政府から関連の通知を受け取った場合は、個人情報が不正に使用された可能性が高いと考えられる。
Geicoの広報担当者であるChristine Tasher(クリスティン・タッシャー)氏に複数回コメントを求めたが、回答は得られなかった。
関連記事:米自動車保険スタートアップMetromileがウェブサイトに侵入者が運転免許証番号を取得できるバグがあったと報告
カテゴリー:セキュリティ
タグ:Geico、データ漏洩、バグ
画像クレジット:Geico / Business Wire
[原文へ]
(文:Zack Whittaker、翻訳:Aya Nakazato)