Navia事件で何が起きたのか

Navia Benefit Solutionsは、米ワシントン州レントンに本社を置く福利厚生管理会社です。全米1万社以上の企業と契約し、100万人以上の従業員のフレキシブル支出口座(FSA)、健康貯蓄口座(HSA)、COBRA給付などを管理しています。

2025年12月22日から2026年1月15日までの約24日間、攻撃者がNaviaのシステムに不正アクセスしていました。Naviaが不審な活動を検知したのは1月23日。つまり攻撃者がアクセスを終了してから8日後です。

2026年3月18日にメイン州司法長官への届出が行われ、269万7540人が影響を受けたことが判明しました。被害者への通知も同日に開始されましたが、実際の漏えいから約3ヶ月が経過していました。

何が漏れたのか

  • 氏名
  • 生年月日
  • 社会保障番号(SSN)
  • 電話番号
  • メールアドレス
  • 健康保険プラン情報(FSA、HSA、HRA、COBRA加入状況)

Naviaは『請求データや金融データは漏えいしていない』としていますが、SSNと健康保険情報の組み合わせは、なりすまし、医療詐欺、標的型フィッシングに十分な情報です。

『この会社、誰?』――見えない第三者の問題

この事件の核心は、被害者の多くがNaviaという会社の存在自体を知らなかったことです。

Naviaは従業員と直接の契約関係がありません。雇用主が福利厚生の管理業務をNaviaに委託し、NaviaがSSNや健康保険情報を含む従業員データを受け取って管理しています。従業員本人は、自分のデータがNaviaに渡っていることを認識していないケースがほとんどです。

あなたの個人情報は、あなたが名前すら知らない会社のサーバーに保存されている。その会社が漏えいしたとき、初めてその存在を知ることになる。

24日間の潜伏――検知の限界

攻撃者がNaviaのシステムに潜伏していた期間は24日間です。この間、攻撃者はデータを閲覧・取得し続けていましたが、Naviaの検知システムには引っかかりませんでした。

IBMの2025年データ漏えいコスト報告書によると、侵害の発見から封じ込めまでの平均日数は241日です。Naviaの24日間は平均と比べれば短いですが、SSN270万件が持ち出されるのに十分な時間でした。

さらに深刻なのは、被害者への通知が漏えいから約3ヶ月後だったことです。その間、被害者はクレジットの凍結もフィッシングへの警戒も、何もできませんでした。

あなたの情報も『見えない会社』に渡っている

Naviaのような第三者データ処理業者は、個人の日常生活のあらゆる場面に存在しています。

  • 勤務先が使っている人事管理システム
  • 保険会社が委託している請求処理業者
  • ECサイトが使っている決済代行サービス
  • 病院が使っている電子カルテの外部ホスティング
  • 不動産仲介が使っている顧客管理システム
  • 学校が使っている成績管理プラットフォーム

あなたが直接契約していないこれらの会社に、あなたのSSN、住所、銀行口座情報、医療記録が保存されています。そしてその会社が漏えいしたとき、あなたは『この会社、誰?』と思いながら通知を受け取ることになります。

自分の情報を守るためにできること

  • メールアドレスが過去の漏えい事件に含まれていないか定期的にチェックする
  • 勤務先に『自分のデータがどの第三者に共有されているか』を確認する
  • 使っていないサービスのアカウントを削除する
  • クレジットモニタリングを有効にし不審な口座開設に気づける体制を作る
  • パスワードをサービスごとに異なるものに設定する
  • 漏えい通知が届いたら無視せず内容を確認し指示に従う

まず確認すべきこと

自分の情報がどこまで広がっているかを完全に把握するのは不可能です。しかし『自分のメールアドレスが過去の漏えいに含まれていないか』を確認するだけでも、リスクの全体像が見えてきます。1件でも見つかれば、そのサービスに紐づく他の情報も危険にさらされていると考えるべきです。

Web検診のプライバシー診断では、メールアドレスの漏えいチェック、デジタルフットプリントの確認、プライバシースコアの算出を無料で行えます。

出典

BleepingComputer: https://www.bleepingcomputer.com/news/security/navia-discloses-data-breach-impacting-27-million-people/

SecurityWeek: https://www.securityweek.com/navia-data-breach-impacts-2-7-million/

TechRepublic: https://www.techrepublic.com/article/news-navia-benefits-data-breach-2-7-million-exposed/

HIPAA Journal: https://www.hipaajournal.com/navia-benefit-solutions-data-breach/