Day 8 | 侵害のあと、リスクは"現実の身体"にまで及ぶことがある After a breach: the personal risk can become literal
侵害のあと、リスクは"現実の身体"にまで及ぶことがある
インシデント対応における「ウェルビーイング」を語るのは、簡単ではありません。なぜなら、侵害の影響は、ときに技術の領域だけでは終わらないからです。ネットワークの内側で起きたはずの出来事が、やがて嫌がらせ、脅迫、そしてごくまれには、現実の身体的危険にまで出てくることがあるからです。
そのことを強く示したのが、2025年のStar Healthの事例でした。Reuters(1,5)によれば、インドの大手医療保険会社Star Healthの情報漏えいに関与したハッカーが、同社CEOとCFOに対して、死の脅迫と実弾入りの小包を送ったと主張しました。この事件では、約7.24テラバイト、3,100万人超に及ぶ個人情報・医療情報が漏えいしたとされ、インド当局は刑事捜査を開始し、小包の配送に関与した疑いで1人を逮捕しています。
こうした事例は極端です。頻繁に起きるものではありません。けれども、そこには重要な現実があります。サイバーリスクと現実世界の個人リスクの境界は、私たちが思っているよりも、ずっと薄いということです。
大きなインシデントが起きると、出来事はもはや「技術的な侵害」だけではなくなります。そこに加わるのは、世間の注目、組織責任の追及、金銭的損失、顧客の怒りや不安、そして組織への失望です。こうした圧力が重なると、組織に関わる特定の人たちが、象徴的な標的になりやすくなります。経営層、セキュリティ責任者、インシデント対応者、法務、広報。つまり「対応している人」そのものが、前面に押し出されてしまうのです。
その瞬間、侵害はシステムの問題から、人の問題へと姿を変えます。非難が回り始める。恐怖が膨らむ。オンライン上の怒りが嫌がらせに変わる。そしてときには、その敵意がデジタル空間の外へ出てきます。
Star Healthの件が示しているのは、もう一つの構図でもあります。攻撃者はときに、自分を単なる犯罪者ではなく、「告発者」や「代弁者」や「復讐者」であるかのように演出します。Reutersは、この攻撃者が、保険金請求を拒否されたと感じる契約者たちの不満と脅迫を結びつけるような説明をしていたと報じています。 それが事実であれ、操作された物語であれ、効果は同じです。社会の怒りが、より具体的な"人"へと向けられやすくなるのです。
ここで大切なのは、インシデント対応のリスク面が、もう変わってしまっているということです。セキュリティチームは、攻撃を止め、システムを復旧し、データ漏えいを抑えれば終わり、ではありません。状況によっては、経営層の安全確保が論点になり、世論や物語が急速に変化し、対応にあたる人自身が可視化され、標的になり得る環境の中で動かなければなりません。
つまり、守るべき対象は、システムから人へと広がっているのです。
この変化は、バーンアウトの見方も変えます。サイバーセキュリティの疲弊は、これまで、アラート疲れ、人手不足、可視性不足といった文脈で語られてきました。それは確かに正しいです。BitSightは可視性の低さとバーンアウトの関連を示し、SophosやProofpointも、現代のセキュリティ職にかかる圧力、人に起因するリスク、経営層を含む重圧の拡大を指摘しています。 けれど、Star Healthのような事例が教えるのは、それだけでは足りないということです。
ときにインシデントは、個人的に脅かされる出来事になりうる。
たとえそれがまれでも、その可能性を知っているだけで、危機対応の心理的風景は変わります。セキュリティの仕事は、もはやシステムを守るだけではありません。技術、公共の信頼、金銭的利害、そして人間の怒りが交差する場所で、人を守る仕事でもあるのです。
だから、侵害後のウェルビーイングは"やさしい話"ではありません。
それは、オペレーショナル・レジリエンスの一部です。
-----
After a breach: the personal risk can become literal
It is difficult to talk about "well-being" in incident response when the consequences of a breach sometimes extend beyond the technical domain.
In rare but sobering cases, cyber incidents spill into harassment, intimidation, and even physical threats against individuals associated with the response or leadership.
A recent example illustrates the escalation that can occur in post-incident environments.
In 2025, Reuters reported that the hacker responsible for leaking sensitive data from India's largest health insurer, Star Health, claimed responsibility for sending death threats and packages containing bullet cartridges to the company's CEO and CFO. The threats were allegedly sent after the attacker leaked approximately 7.24 terabytes of personal and medical data affecting more than 31 million customers, and included photographs of threatening packages addressed to the executives. Indian authorities opened a criminal investigation and arrested an individual suspected of helping deliver the parcels.
While such cases represent the extreme edge of cyber conflict, they illustrate an important dynamic: the boundary between digital incidents and real-world risk can collapse.
When the incident becomes personal
Security incidents create environments that combine several volatile forces:
- public scrutiny
- organizational accountability
- financial damage
- and widespread emotional reactions from affected customers
When these pressures converge, individuals associated with the organization executives, incident responders, legal teams, and security leaders can become symbolic targets.
In these moments, the technical breach evolves into a social and psychological event.
Blame circulates.
Fear escalates.
Online anger can become harassment.
And sometimes the hostility moves beyond the digital sphere.
The broader pattern: anger, exposure, and attribution
Large breaches often expose sensitive personal data, disrupt services, or reveal perceived organizational failures. When millions of individuals feel directly affected, emotions can intensify rapidly.
In the Star Health case, the attacker framed the threats as retaliation connected to grievances from policyholders who believed insurance claims had been denied.
This narrative--whether accurate or not--illustrates a recurring phenomenon in cyber incidents:
The attacker positions themselves not merely as a criminal actor, but as an avenger or whistleblower, attempting to channel public frustration.
This framing can amplify public anger and create a dangerous social environment for individuals connected to the organization.
A convergence of cyber risk and physical risk
Security researchers have increasingly warned that cyber incidents are no longer purely digital events.
Data breaches can trigger:
- doxxing campaigns
- coordinated harassment
- reputational attacks
- threats against executives or responders
In extreme cases, broader social tensions can even translate into real-world violence.
For example, the murder of UnitedHealthcare CEO Brian Thompson in 2024 drew global attention to the security risks facing corporate leaders in highly contentious sectors such as healthcare and insurance.
Although that event was not directly caused by a cyber incident, it reinforced a growing concern: corporate accountability disputes can escalate into personal targeting.
Incident response under a different kind of pressure
For security professionals, these dynamics change the psychological environment of incident response.
The pressure is no longer limited to:
- stopping an attacker
- restoring systems
- or protecting data
Instead, the response can unfold under conditions where:
- leadership safety becomes a concern
- public narratives evolve rapidly
- and the people responding to the crisis may themselves become visible targets.
In other words, the risk surface expands from systems to humans.
Why this matters for security teams
Discussions of cybersecurity burnout often focus on workload, alert fatigue, or staffing shortages.
But cases like this highlight another dimension of stress in modern security work: the possibility that incidents can become personally threatening.
Even when such escalation is rare, the awareness that it can happen changes how teams experience crisis response.
Security professionals are no longer just protecting systems.
They are operating at the intersection of:
- technology
- public trust
- financial stakes
- and human anger.
And when a breach occurs, the consequences can extend far beyond the network.
References
-
Reuters. (2025, May 9). Star Health hacker says they sent death threats, bullets to India executives. Reuters. https://www.reuters.com/sustainability/boards-policy-regulation/star-health-hacker-says-they-sent-death-threats-bullets-india-executives-2025-05-09/
-
Campbell, C. (2025, November 4). Cybersecurity burnout's secret trigger: Lack of visibility. BitSight.
https://www.bitsight.com/blog/state-of-cyber-security-burnout-today -
Aamoth, D. (2025, September 30). Report: Addressing cybersecurity burnout in 2025. Sophos.
https://www.sophos.com/en-us/blog/report-addressing-cybersecurity-burnout-in-2025 -
Proofpoint. (2025, August 25). 2025 Voice of the CISO report. Proofpoint.
https://www.proofpoint.com/us/resources/white-papers/voice-of-the-ciso-report -
Reuters. (2024, December 4). UnitedHealth executive killed in Manhattan in targeted attack. Reuters.
https://www.reuters.com/world/us/unitedhealthcare-ceo-fatally-shot-ny-post-reports-2024-12-04/ -
Associated Press. (2024, December 6). Killing of UnitedHealthcare CEO spotlights complex challenge companies face in protecting top brass. AP News.
https://apnews.com/article/unitedhealthcare-ceo-thompson-shooting-security-corporate-a9400196d019daa3fe70698e807c606d