美国保险业资产评级认证因网络攻击暂停，或引发险资震荡

前情回顾·金融业网络威胁态势

• 损害金融主权？俄交易所疑遭敌对国黑客攻击，近亿元被盗后停止运营

• 关键账号密码被盗，金融巨头超9.2亿元资金遭转账窃取

• 马来西亚多家券商系统遭境外攻击，大量交易账户被操纵买卖股票

• 央行供应商遭黑，多家金融机构超13亿元准备金被盗

安全内参6月30日消息，恶名昭著的网络犯罪组织ShinyHunters日前在暗网泄露网站上发布了3.1TB数据，声称窃取自美国全国保险监督官协会（NAIC）。该数据发布数小时前，NAIC公开确认近期遭入侵后被盗数据已被“相关组织发布到网上”。NAIC并未直接点名ShinyHunters，但谷歌旗下的Mandiant部门已经明确将攻击者指向该组织。

此次数据泄露发生在ShinyHunters本月早些时候发出警告之后。当时该组织扬言，若不在6月22日前联系他们，就公开数据。NAIC没有支付赎金。

图：NAIC官方声明

NAIC在6月17日首次确认遭到入侵，此前其于6月11日发现，有人未经授权访问其Oracle PeopleSoft系统，随后引入美国联邦调查局及外部网络安全专家参与调查。

哪些数据被泄露？

上周四，ShinyHunters修改了对泄露数据集的描述，称此前对数据内容的说法存在“夸大”，原因是“分析错误以及AI对底层数据的错误解读”。

修改后的说法显示，这3.1TB的数据包括：

• 超过26.4万份保险监管申报PDF文件，涉及2017年至2024年间财产险、意外险、健康险和寿险公司；

• 约4.5万份来自信用评级机构的文件，涵盖穆迪、惠誉、标普、晨星DBRS、KBRA、贝氏评级、Egan-Jones和HR Ratings；

• 保险公司提交的法定年度和季度财务报表；

• 约2000条客户及批量订单记录，其中包含姓名、电子邮件地址和支付交易标识符；

• 生产环境下的AWS基础设施日志和云配置文件；

• 以及带有存储凭证且与生产环境关联的SQL脚本。

NAIC对其中部分内容提出了异议。NAIC表示，调查人员并未发现核心系统遭到入侵的证据，并确认SERFF、OPTins、UCAA、电子数据平台以及监管数据目录均未被访问。NAIC确认，被获取的数据包括法定财务报告、保险公司投资信用评级数据，以及其所说的“过时的日志和配置文件”。

NAIC称，没有个人身份信息、支付数据、保险代理人数据或投保人信息被盗。NAIC还表示，虽然此次入侵涉及信用评级判定数据，但攻击者并未访问评级机构提交的“评级依据报告”（rationale reports）。这一区别对于下文将要讨论的资本规则问题具有重要意义。

基础设施文件可用于后续进一步攻击

NAIC将配置文件描述为“过时的”或许符合事实，但这并未解决这些文件所引发的安全风险。

基础设施文件、云配置数据以及生产环境备份，可以为攻击者提供一张详尽的组织系统连接方式和数据流转路径地图。泄露的目录列表据称包括云模板、配置存储桶、应用设置以及自动化平台数据。

一个已经掌握有效Oracle PeopleSoft漏洞利用方式，并获得了凭证和基础设施配置信息的组织，比仅仅窃取申报文件的攻击者更有能力发动后续攻击。

纯粹以窃取数据为目的、不部署勒索软件的数据盗窃型攻击，即攻击者窃取并公开数据但不进行加密的行为，在勒索索赔事件中所占的比例，已从2025年上半年的49%上升到2025年下半年的65%。

ShinyHunters这次并未部署加密程序。其惯常做法是：获取数据、威胁公开、发布数据，再利用数据中包含的基础设施情报谋划下一次行动。

暂停措施如何影响保险公司的资本

一个运营层面的后果已经显现。NAIC系统遭到入侵后，部分信用评级机构已暂停数据传输。

图：部分评级机构发布声明

穆迪确认部分与NAIC相关的信用评级和保险数据被公开泄露，出于审慎考虑已暂停向其提供数据；克罗尔债券评级公司（KBRA）称，在事件以令人满意的方式解决之前，该机构已暂停向NAIC发送数据源；惠誉评级发言人表示，此前提交给NAIC的部分数据受到此次入侵影响，但自身系统和业务运营并未受影响。

上周五，NAIC表示，其已暂时中止为保险公司投资组合分配自身投资类别评级的工作。NAIC的大部分其他业务已恢复正常，唯一例外便是信用评级机构的数据源。NAIC称，在恢复这项服务之前，他们正在等待相关的安全保证。

这次暂停的影响超出一般意义上的数据处理中断，因为这些评级和分类处于美国保险资本规则的核心位置。据英国《金融时报》报道，这些分类决定着美国寿险公司必须为其投资资产持有多少资本，以覆盖未来对投保人的义务：通过让同类资产获得更低的分类，从而降低资本计提要求，保险公司可以提高利润。如果分配这些分类的机制暂停运行，那么管理保险公司如何分类资产组合、如何计提资本的框架就会陷入停滞。

此次中断发生在一个敏感时期，保险公司的信用评级正受到监管机构以及国际清算银行等组织的日益严格审视。一些分析人士认为，评级正在被用于规避资本规则，这可能导致部分寿险公司相对于其对投保人的承诺而言资本不足。

大量审视目光集中在所谓的“私函评级”（private letter ratings）上。这类评级通常只有发行方和少数投资者能够看到，监管机构已指出其容易被用于套利。国际清算银行去年曾在一份报告中警告，私人信用评级可能会助长对借款人信用状况的高估，最终掩盖保险公司所持复杂资产的真实风险。

本月发布的两篇学术论文研究了美国保险公司是否利用私人评级规避资本要求；据《金融时报》报道，两篇论文均发现了评级被人为抬高的证据。

同样的私人评级问题，也正是NAIC就“评级依据报告”所作声明之所以重要的原因：这些报告正是证明私人信函评级依据的文件，而NAIC表示，这些文件并未出现在被访问的数据当中。

受影响机构之一KBRA向《金融时报》表示，NAIC于6月11日发现事件，到6月26日才确认KBRA的数据受到影响，这一时间差限制了KBRA“评估情况的能力”。

更广泛的漏洞攻击与数据泄露威胁态势

NAIC只是日益庞大的受害者名单中的一个。ShinyHunters在同一场6月攻击活动期间，已在其泄露网站上陆续发布了来自亚马逊One Medical、欧洲委员会、柯达和DentaQuest的数据。这些事件均源于同一个Oracle PeopleSoft零日漏洞，该漏洞在甲骨文于6月10日发布补丁之前，已持续存在了14天。

FBI《2026互联网犯罪报告》显示，2025年美国网络犯罪损失接近210亿美元，政府机构和监管组织位列全球受攻击最多的三大行业之一。微软Entra数据表明，针对这些实体的身份攻击每天超过6亿次。

NAIC之所以成为特别重要的目标，原因在于它处于美国保险监管体系的中心位置，掌握着数千家保险公司的数据，并与全部50个州的监管机构相连接。其系统一旦遭到入侵，影响便会通过整个行业向外扩散，而非局限于单一实体。

FBI的调查仍在持续。对于那些申报文件、财务报表和评级数据如今已出现在暗网泄露网站上的保险公司和州监管机构而言，悬而未决的问题是：这些数据将如何被利用，又将在何时被利用。目前，这些都没有答案。

参考资料：https://www.insurancebusinessmag.com/us/news/cyber/3-1tb-of-naic-data-dumped-on-to-the-dark-web-580537.aspx、https://www.cybersecuritydive.com/news/insurance-body-hackers-oracle-peoplesoft-breach-data/823978/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。