信用調査会社エキファックスは、米国だけで最大1億4,300万人のデータに影響を与えた大規模ハッキングが木曜日に発覚したことを受けて、情報漏洩への対応について批判を受けている。
信用調査機関であるEquifaxは、5月中旬以降、ウェブサイトの脆弱性のあるアプリケーションを悪用した犯罪者が、米国顧客の氏名、社会保障番号、生年月日などのデータにアクセスできた可能性があることを認めた。Equifaxによると、同社の中核となる消費者および企業向け信用情報データベースにおいて、不正行為の証拠は見つかっていない。
Equifaxの大規模ハッキングで被害を受けていない人は立ち上がってください。おっと、おっと、みんな座ってください。
続きを読む
情報漏洩は7月29日に発覚したが、エキファックスは40日後にようやく問題を公表した。「アクセスされた情報には、主に氏名、社会保障番号、生年月日、住所、そして場合によっては運転免許証番号が含まれている」と同社は述べている。
さらに、「約209,000人の米国消費者のクレジットカード番号、および約182,000人の米国消費者の個人識別情報を含む特定の紛争文書」もアクセスされました。
Equifaxは、この侵害で英国とカナダ在住者の個人情報(人数は非公開)も漏洩したことを認めている。漏洩した可能性のある情報の詳細は不明である。
英国のデータプライバシー監視機関、具体的には情報コミッショナー事務局はすでにエキファックスと連絡を取り、「影響を受ける英国の顧客にできるだけ早く警告する」よう勧告している。
Equifaxは侵害通知の準備に数週間の猶予があったにもかかわらず、無料の共有CloudFlare SSL証明書を使ったシンプルなWordPressサイト(ああ、そうだったのか)経由で通知するという決定は、いささか不可解だ。「どういうわけか、Equifaxはその6週間を使って、社会保障番号を要求する新しいドメインを設定し、Cloudflareで匿名のWhois情報を提供していた」と、セキュリティコンサルタントのケビン・ボーモント氏は述べている。
全体的なアプローチはすでに失敗しているようで、OpenDNSは明らかに誤検知でこのサイトをフィッシングサイトとして警告しました。The Registerは、フィッシングサイトかもしれないと懸念する読者からメールを受け取っています。
無料の信用情報ファイルチェック
Equifax の侵害通知サイト (https://www.equifaxsecurity2017.com) では、消費者に「TrustedID Premier と呼ばれる無料の個人情報盗難保護および信用ファイル監視製品を登録して有効化する」よう勧めています。
TrustedID Premierに登録することで、関係者は個人的に影響を受けたかどうかを確認できますが、利用規約の文言から、訴訟を起こす権利を放棄し、代わりに仲裁に同意することになるのではないかと懸念する声も上がっています。需要に対応するため、関係者はTrustedID Premierにすぐに登録することはできず、代わりに将来の登録日が通知されます。
サービスは一度有効にすると、最初の 1 年間のみ無料でご利用いただけます。
「影響を受けた可能性のある1億4,300万人が顧客であったならば、エキファックスの顧客サービスとインシデント対応はより優れていたかもしれないが、そうではない」と、センチネルワンのセキュリティ戦略責任者、ジェレミア・グロスマン氏は述べた。
侵害通知に対する批判は広範囲に及んだものの、必ずしも全面的ではなかった。一部の専門家は、Equifaxをある程度寛容に扱う傾向にあった。
「エキファックスの侵害発表は概ね良かったが、7月に既に知っていたにもかかわらず、今になって発表されたというのは少々不安だ」と、侵害通知サービス「haveibeenpwned」のセキュリティ研究者で、侵害通知の第一人者であるトロイ・ハント氏は述べた。
Digital Shadowsの戦略担当副社長であり、元インシデント対応者でもあるリック・ホランド氏は、さらに同情的な見方を示しています。ホランド氏は、インシデントを伝えるのに1ヶ月かかるのは「それほど長くない」と考えています。ブログ投稿では、侵害の根本原因はSQLインジェクションの脆弱性である可能性が高いと推測しています。®
