สรุปสั้น

บริษัท Aflac ซึ่งเป็นบริษัทประกันภัยเสริมรายใหญ่ที่สุดในสหรัฐอเมริกาและอยู่ในกลุ่ม Fortune 500 ให้บริการลูกค้าหลายล้านรายทั้งในสหรัฐฯ และญี่ปุ่น ได้เปิดเผยข้อมูลรั่วไหลครั้งใหม่ หลังจากผู้โจมตีเจาะระบบของบริษัทลูก Aflac Life Insurance Japan Ltd. หรือ Aflac Japan สำเร็จ บริษัทยื่นเอกสารต่อสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์สหรัฐฯ หรือ SEC เมื่อวันจันทร์ ระบุว่า Aflac Japan ตรวจพบการเข้าถึงระบบโดยบุคคลภายนอกที่ไม่ได้รับอนุญาตเมื่อวันที่ 25 มิถุนายน 2569 โดยการเข้าถึงเกิดขึ้นระหว่างวันที่ 15 ถึง 25 มิถุนายน 2569

เมื่อพบการเข้าถึงที่ผิดปกติ Aflac Japan ได้ดำเนินการควบคุมเหตุการณ์ทันทีรวมถึงระงับการทำงานของบางระบบ แม้จะระงับระบบบางส่วนแต่ Aflac Japan ยังคงให้บริการผู้ถือกรมธรรม์ต่อเนื่องระหว่างจัดการกับเหตุการณ์นี้ บริษัทกำลังสอบสวนร่วมกับผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์จากภายนอก และยืนยันแล้วว่าผู้โจมตีเข้าถึงข้อมูลสำคัญบางส่วนที่จัดเก็บอยู่ในระบบที่ถูกเจาะ แม้การสอบสวนยังดำเนินอยู่ แต่ Aflac Japan ระบุว่าไฟล์ที่ได้รับผลกระทบมีรายละเอียดกรมธรรม์และความคุ้มครอง ข้อมูลส่วนบุคคล และข้อมูลบัญชีธนาคารของลูกค้ารวมอยู่ด้วย บริษัทได้แจ้งสำนักงานบริการทางการเงินของญี่ปุ่น (Japan Financial Services Agency) และหน่วยงานที่เกี่ยวข้องอื่น ๆ แล้ว และมีแผนแจ้งเตือนบุคคลที่ได้รับผลกระทบโดยตรงต่อไป

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 30 มิถุนายน พ.ศ. 2569 ว่า เหตุการณ์นี้จำกัดอยู่เฉพาะระบบในประเทศญี่ปุ่นเท่านั้น ระบบของบริษัทที่เกี่ยวข้องกับธุรกิจในสหรัฐฯ ไม่ได้ถูกผู้โจมตีเข้าถึงแต่อย่างใด อย่างไรก็ตาม Aflac ระบุว่าในขณะนี้ยังไม่สามารถประเมินขอบเขตความเสียหายทั้งหมดและผลกระทบสุดท้ายต่อบริษัทได้อย่างชัดเจน ทีมงานของ BleepingComputer พยายามติดต่อโฆษกของ Aflac เพื่อขอความเห็นเพิ่มเติม แต่ยังไม่ได้รับการตอบกลับในทันที

นี่ไม่ใช่ครั้งแรกที่ Aflac ประสบปัญหาข้อมูลรั่วไหล เมื่อประมาณหนึ่งปีก่อนหน้านี้ Aflac เคยเปิดเผยเหตุการณ์ข้อมูลรั่วไหลอีกครั้งหนึ่ง ซึ่งเป็นส่วนหนึ่งของแคมเปญโจมตีขนาดใหญ่ที่เล็งเป้าไปยังบริษัทประกันภัยหลายแห่งทั่วสหรัฐอเมริกา โดยระบุว่าผู้โจมตีอาจเข้าถึงเอกสารที่มีข้อมูลสำคัญของลูกค้า ผู้รับผลประโยชน์ พนักงาน ตัวแทน และบุคคลอื่น ๆ แม้ Aflac จะไม่เคยระบุอย่างเป็นทางการว่าเหตุการณ์ครั้งก่อนเป็นฝีมือของกลุ่มใด แต่ลักษณะการโจมตีมีสัญญาณคล้ายกับฝีมือของกลุ่ม Scattered Spider ซึ่งเป็นกลุ่มที่รู้จักกันในชื่ออื่นด้วย เช่น 0ktapus, UNC3944, Scatter Swine, Starfraud และ Muddled Libra โดยกลุ่มนี้ยังเคยอยู่เบื้องหลังการโจมตีบริษัทประกันภัยอื่น ๆ อย่าง Erie Insurance และ Philadelphia Insurance Companies หรือ PHLY ซึ่งเป็นส่วนหนึ่งของคลื่นการโจมตีเดียวกัน กลุ่มนี้ยังเคยร่วมมือกับปฏิบัติการแรนซัมแวร์อื่น เช่น Qilin, RansomHub และ DragonForce และมีรายชื่อเหยื่อที่ผ่านมารวมถึง MGM Resorts, DoorDash, Caesars, MailChimp, Twilio, Coinbase, Riot Games และ Reddit

รายละเอียดช่องโหว่

เอกสารที่ Aflac ยื่นต่อ SEC ยังไม่ได้ระบุรายละเอียดทางเทคนิคของวิธีที่ผู้โจมตีใช้เจาะเข้าระบบของ Aflac Japan แต่จากรูปแบบเหตุการณ์ครั้งก่อนที่มีสัญญาณเชื่อมโยงกับกลุ่ม Scattered Spider ซึ่งขึ้นชื่อเรื่องเทคนิค social engineering ระดับสูง เช่น การปลอมตัวติดต่อ help desk เพื่อรีเซ็ตรหัสผ่านหรือ MFA ของพนักงาน ก็เป็นความเป็นไปได้หนึ่งที่ต้องจับตา ข้อมูลที่ถูกขโมยไปประกอบด้วยรายละเอียดกรมธรรม์ ข้อมูลความคุ้มครอง ข้อมูลส่วนบุคคล และข้อมูลบัญชีธนาคาร ซึ่งเป็นข้อมูลที่มีมูลค่าสูงสำหรับอาชญากรไซเบอร์ที่ต้องการนำไปใช้ก่อเหตุฉ้อโกงทางการเงินหรือขายต่อในตลาดใต้ดินต่อไป

ผลกระทบต่อไทย

แม้เหตุการณ์นี้จะจำกัดอยู่ในระบบของ Aflac Japan โดยตรง แต่สะท้อนให้เห็นแนวโน้มที่กลุ่มผู้โจมตีอย่าง Scattered Spider และเครือข่ายพันธมิตรยังคงเล็งเป้าไปที่อุตสาหกรรมประกันภัยอย่างต่อเนื่องทั่วโลก บริษัทประกันภัยในไทยที่มีบริษัทแม่หรือพันธมิตรทางธุรกิจในต่างประเทศ หรือใช้ระบบไอทีร่วมกันในระดับภูมิภาค ควรตระหนักว่าการโจมตีบริษัทลูกในประเทศหนึ่งอาจเป็นจุดเริ่มต้นที่นำไปสู่ความเสี่ยงต่อเครือข่ายทั้งกลุ่มบริษัทได้ โดยเฉพาะข้อมูลกรมธรรม์และข้อมูลบัญชีธนาคารของลูกค้าซึ่งเป็นข้อมูลอ่อนไหวที่มีมูลค่าสูงในตลาดใต้ดิน

คำแนะนำ

บริษัทประกันภัยและองค์กรในกลุ่มธุรกิจการเงินควรทบทวนมาตรการยืนยันตัวตนของ help desk และกระบวนการรีเซ็ตรหัสผ่าน/MFA ให้รัดกุม เนื่องจากเป็นช่องทางที่กลุ่มอย่าง Scattered Spider มักใช้โจมตี ควรแยกระบบของบริษัทลูกในแต่ละประเทศออกจากกันอย่างเหมาะสมเพื่อจำกัดผลกระทบหากเกิดการเจาะระบบ และหมั่นตรวจสอบว่าข้อมูลลูกค้าที่จัดเก็บไว้ โดยเฉพาะข้อมูลบัญชีธนาคารและข้อมูลกรมธรรม์ ได้รับการเข้ารหัสและควบคุมการเข้าถึงอย่างเข้มงวด องค์กรควรมีแผนตอบสนองเหตุการณ์ที่ชัดเจนและประสานงานกับหน่วยงานกำกับดูแลได้อย่างรวดเร็วเมื่อเกิดเหตุ

แหล่งอ้างอิง