1億4,300万人以上のアメリカ人の個人データが漏洩した大規模ハッキング事件以来、Equifaxのスタッフは警戒を怠らないはずだが、同社のソーシャルメディアには確かにそのメッセージは届いていない。
ハッキングの規模が明らかになってから1か月以上経った9月7日にハッキングのニュースが発表されると、Equifaxは、心配している顧客が影響を受けたかどうかを確認するためのウェブサイトをequifax.comドメインではなくequifaxsecurity2017.comに開設した。
セキュリティ研究者のニック・スウィーティングは、ちょっとした遊び心として、フィッシング詐欺師が日常的に使うような、見慣れた見た目と操作感のsecurityequifax2017.comを作成しました。その点を強調するため、ウェブサイトの見出しは「サイバーセキュリティインシデントと重要な消費者情報が完全に偽物。なぜEquifaxはフィッシングサイトに簡単に偽装できるドメインを使ったのか?」でした。
彼の指摘は的を射ていた。サイトはEquifax自身を騙していたのだ。サイト開設後まもなく、Equifaxの公式TwitterフィードはSweetingの偽ページへのリンクを貼り始め、EquifaxのソーシャルメディアチームのTimは9月9日から一連の投稿で、データ漏洩を懸念する顧客に向けて誤ったURLをツイートし始めた。
マジで、ティム?
これらのツイート(現在は顔を赤らめたEquifaxのスタッフによって削除されている)は9月18日まで続き、imgurのstanleyspadowski氏とTwitterの@aaronkkruse氏によって発見された。何人がこのサイトに誘導されたかは不明で、その後Googleによってブロックされた。
Chromeのドメインブラックリストに登録されてしまいました。ドメインを変更する気は特にないので、今のところはこのスクリーンショットがレガシーです。https://t.co/Iznla9UvfK
— ニック・スウィーティング🚲 (@thesquashSH) 2017年9月20日
Equifaxがハッキング事件の発表に長い時間をかけて準備していたことを考えると、迅速な対応だったはずだと思われるかもしれません。しかし、消費者が自分のステータスを確認できるように設置した緊急ウェブサイトは杜撰なものでした。訴訟を免れるために法的手段を講じようとし(そして失敗し)、この事件に巻き込まれた英国民の数を確認するのに1週間近くもかかりました。
ハッキング全体は、同社がApache Strutsの脆弱性を何ヶ月も放置し、迅速にパッチを適用しなかったために可能になった。もっとも、Equifaxだけがそうだったわけではない。同社のCSOとCIOは、おそらく高額の退職金を得て退職しており、CFOをはじめとする上級管理職の株式売却についても調査が行われている。
エクイファックスが自社のビジネス慣行に関する本格的な調査を必死に回避しようとしていることを考えると、同社はもっと慎重に行動するはずだと思われただろう。しかし、どうやらそうではないようだ。®
