網路攻擊不再局限於「大型企業的總部」。
當為我們提供支援的承包商和合作夥伴公司發生安全漏洞時,我們應該如何保護我們的敏感個人資訊?
2025年12月5日,第一生命控股株式會社宣布,其集團公司第一前沿生命保險株式會社和新第一生命保險株式會社遭到勒索軟體攻擊,攻擊目標是與第一生命控股株式會社簽訂合約的新潮社株式會社,存在客戶資訊(包括敏感個人資訊)外洩的風險。
早在2025年7月11日的一份「公告」中,就已公開了資料外洩的可能性。在調查研究機構完成調查後,兩家公司於2025年12月5日公佈了對此外洩事件的調查結果。敏感個人資訊是指需要特別謹慎處理的個人資訊,包括病史等。目前尚未確認未經授權使用而造成的任何二次損害。
從: 
關於我們集團一家商業夥伴因勒索軟體導致的資訊外洩事件
【社論】
第一生命集團面臨的不僅是旗下某公司的資料外洩事件,而是一起可能蔓延至多家保險公司的供應鏈勒索軟體攻擊事件,首當其衝的可能是一家分包商。爭議的焦點在於,調查公司新潮社的網路可能遭到入侵,影響包括第一前沿生命保險公司和新第一生命保險公司在內的多家分包商的數據。
調查審查委員會的最終報告指出,未經授權的網路存取導致伺服器上的文件被加密,可能導致包括個人資訊在內的資料被竊取,並提出了一些防止再次發生的措施,例如隔離網路和審查存取權限。然而,一些安全專業媒體提及的攻擊組織名稱和受影響的外包公司具體數量尚未得到官方確認,這一點需要冷靜客觀地看待。
本案例凸顯了這樣一種結構:承包商作為「調查公司」的違規行為,可能突然對包括人壽保險和非人壽保險在內的眾多公司客戶資訊構成風險。鑑於2025年上半年日本勒索軟體攻擊事件的增加,可以說,我們正步入一個網路風險管理不僅需要保護單一公司,更需要將其納入包含承包商和供應商在內的整體設計的新時期。
從技術層面來說,零信任、EDR 和加密備份等防禦和復原措施正變得越來越普及,但這還遠遠不夠。尤其是在保險業,將與保險賠償相關的調查和行政流程外包十分常見,而外包合約階段對事件發生時的報告義務和安全標準的明確規定程度,正成為決定可靠性和競爭力的關鍵因素。
儘管目前尚未證實第一生命集團客戶資訊遭受二次損害,但敏感個人資訊可能受到影響,這無疑加劇了投保人的心理焦慮。隨著此類事件的不斷發生,用戶在選擇保險和金融服務時,會更加關注“哪些公司在一定程度上應對了網路風險”,同時也會期望企業更加透明、負責。
[術語]
勒索軟體<br>一種惡意軟體,它會對電腦或伺服器上的資料進行加密,並索取贖金(贖金)以換取解密。
供應鏈攻擊<br>一種網路攻擊方法,它透過分包商、業務合作夥伴等而非公司本身來滲透關鍵系統和資料。
敏感個人資訊<br>這是一類需要特別謹慎處理的個人資訊,例如病史,以避免不公平的歧視、偏見或其他不利影響。
[參考連結]
第一生命控股株式會社(外在)
這是統管整個第一生命集團並經營人壽保險和資產管理業務的控股公司的官方網站。
第一前沿生命保險株式會社(外部)
這是第一生命集團旗下某壽險公司的官方網站,該公司透過銀行銷售等管道提供可變保險產品。
Neo First Life Insurance Co., Ltd. (外部)
這是第一生命集團人壽保險公司的官方網站,該公司透過網路和代理人提供保險產品。
新潮社株式會社(外部)
這是一家受委託調查保險賠償等事宜的公司,也是發布勒索軟體損害和最終報告的官方網站。
[參考文章]
服務提供者遭受勒索軟體攻擊,日本保險公司高度戒備(外部報告)
文章解釋了日本保險公司在分包商遭受勒索軟體攻擊後保持高度警惕的情況,並指出了整個供應鏈風險管理的重要性。
新潮社遭受勒索軟體網路攻擊,可能影響了超過34家分包商(外部)。
該報告概述了新潮車襲擊事件可能影響到 30 多名客戶(包括幾家保險公司)的情況,並從技術角度解釋了該事件的特點和問題。
新潮車保險公司遭遇勒索軟體攻擊後,多家保險公司宣布資料外洩(外部連結)
在新潮社事件發生後,報告總結了非壽險公司和其他公司宣布資訊外洩和潛在外洩的過程,並解釋了這種供應鏈攻擊的結構。
2025年上半年日本勒索軟體事件(外部)
該報告總結了 2025 年上半年日本勒索軟體事件的趨勢和代表性案例,並分析了攻擊團伙的活動模式和防禦措施。
關於未經授權存取的報告和道歉(最終報告) (外部)
本頁包含新潮社的最終報告,總結了未經授權存取公司網路和勒索軟體損害的原因、影響範圍以及防止再次發生的措施。
[編者註]
從簽約的那一刻起,與保險公司的關係就一直持續下去,但我們往往沒有機會去思考幕後有多少承包商和系統參與其中。隨著像這樣的承包商遭受攻擊的案例越來越多,我希望我們能夠共同努力,找出我們的資訊傳播範圍有多廣,以及它是如何受到保護的。
在選擇保險或金融服務時,您對安全措施的重視程度如何?我希望這篇文章能促使您逐步更新自己的決策標準,不僅包括合約細節和保險費,還包括如何應對網路風險。
