米保険大手 州から提訴される「原因はWebサイト、より大きい原因はセキュリティより利益を優先したこと」 | ScanNetSecurity
2026.07.18(土)

米保険大手 州から提訴される「原因はWebサイト、より大きい原因はセキュリティより利益を優先したこと」

 ニューヨーク州は、非常に不適切な設計のウェブサイトを運営し、誰でも容易に個人情報を平文で探せる状態だったとして、オールステート保険を提訴した。「情報漏えいの具体的な原因は、ナショナル・ジェネラルが設計し公開した安全性が低い Web サイトにある。しかし、より大きい意味での原因は、同社が合理的なデータセキュリティ対策の実施よりも利益を優先したことにある」と訴状には記載されている。

国際 TheRegister
https://www.allstatecorporation.com/
https://www.allstatecorporation.com/ 全 1 枚 拡大写真

 ニューヨーク州は、非常に不適切な設計の Web サイトを運営し、誰でも容易に個人情報を平文で探せる状態だったとして、オールステート保険を提訴した。

 データが盗まれたのは、オールステートのナショナル・ジェネラル・ビジネス・ユニットが運営していた、保険の見積もりを希望する消費者向けの Web サイトだ。同サイトのユーザーは名前と住所を入力する必要があり、その情報をもとにしてレクシスネクシス・リスク・ソリューションズのデータベースを用いて、その住所の住人のデータを検索する。

 その後、指定の氏名と住所に関連する運転免許証番号(DLN:Driver's License Number)や「同住所に住んでいる可能性のある運転者全員の氏名、および彼らの DLN 」を含む検索結果が画面に現れる。

 当然、犯罪者はこのシステムを利用して、詐欺の目的で他人の個人情報を収集していた。

 「ナショナル・ジェネラルは、見積もりプロセスの際に、消費者の DLN が自動的に暗号化されず平文で表示されるツールを意図的に作成した。つまり、見積もり Web サイトの画面上で完全に開示されるようにしたのだ」と、裁判資料 [PDF] には記載されている。

 「予想通り、攻撃者はこの脆弱性を特定し、多くのニューヨーカーの DLN に簡単にアクセスする手段として、この見積もりツールを悪用した」と訴状には記載されている。 デジタル窃盗犯は、この情報を利用して「パンデミックや失業手当の不正請求」を行ったとされている。

 オールステートの広報担当者は訴訟について 本誌 The Register に次のような声明をメールで送った。


《The Register誌特約記事》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 「QRでアクセスするので該当者しか閲覧できない」と思い込み ~ マラソンのボランティアの個人情報閲覧可能に

    「QRでアクセスするので該当者しか閲覧できない」と思い込み ~ マラソンのボランティアの個人情報閲覧可能に

  2. 高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

    高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

  3. エクセルファイルに個人情報が記載されたシートがあることに気づかず公開

    エクセルファイルに個人情報が記載されたシートがあることに気づかず公開

  4. 近畿大学薬学部の教員が個人情報が記載されたファイルをGoogleドライブ上で誤って学生に共有

    近畿大学薬学部の教員が個人情報が記載されたファイルをGoogleドライブ上で誤って学生に共有

  5. 日本交通が不正アクセスでシステムを緊急遮断、タクシー配車やハイヤー予約等に一部影響

    日本交通が不正アクセスでシステムを緊急遮断、タクシー配車やハイヤー予約等に一部影響

ランキングをもっと見る
PageTop