Comparisons Brawte nfaq 0 Comments

おめでとうございます、ファースト・アメリカン・タイトル・インシュアランス。テクノロジーの歴史に名を残しました。しかし、それは全く間違った理由によるものです。

Table of Contents

おめでとうございます、ファースト・アメリカン・タイトル・インシュアランス。テクノロジーの歴史に名を残しました。しかし、それは全く間違った理由によるものです。

カリフォルニアに拠点を置く保険会社が、数千万件もの顧客の個人情報を不注意でインターネット上に公開し、ニューヨーク州金融サービス局(DFS)からサイバーセキュリティ規則違反で告発された初の企業となった。

ニューヨーク州の金融規制当局は、ファースト・アメリカン・タイトル・インシュアランスがデータセキュリティを怠り、非公開情報(NPI)保護に関する州法に違反したと発表しました。2018年4月時点で、同社のシステムには7億5,300万件の文書が保管されており、そのうち6,500万件には非公開情報を含むというタグが付けられていました。2019年5月時点で、システムには合計8億5,000万件以上の記録が含まれていました。セキュリティ上の脆弱性により、これらの記録はすべて4年間にわたりウェブ上で閲覧可能でした。

DFSによると、このソフトウェアの欠陥を6ヶ月前から知っていたにもかかわらず、同社は問題の解決に何の対策も講じていなかった。NPI違反1件につき1,000ドルの罰金が科される可能性がある。

「ファースト・アメリカン・タイトル保険会社は4年以上にわたり、銀行口座番号や明細書、住宅ローンや納税記録、社会保障番号、電信送金の領収書、運転免許証の画像など、消費者の機密個人情報を含む数千万件の文書を漏洩した」とDFSは告発した[PDF]。

「少なくとも2014年10月から2019年5月まで、ファースト・アメリカンの公開ウェブサイトに存在する既知の脆弱性により、これらの記録はウェブブラウザを持つ誰でも閲覧可能だった。」

今回の申し立ては、世界最大の金融センターを管轄する州機関であるDFSがサイバーセキュリティに関する告発を行った初のケースとなる。ファースト・アメリカンは本社をカリフォルニア州サンタアナとしているが、米国の他のほぼすべての大規模金融会社と同様に、事業の大部分をニューヨーク州で行っている。

貯金箱の写真(Shutterstockより)

米保険会社、ウェブアクセスの失敗で「最大8億8500万件」のファイルが流出した件でSECの調査に直面

続きを読む

漏洩した文書は、ファースト・アメリカン・タイトル・インシュアランスのFASTに保存されていました。FASTは、住宅ローン申請などの顧客の公式文書のスキャンデータ数億枚を保管するデータベースです。2014年、ファースト・アメリカンのWebベースソフトウェアであるEagleProに、誤って脆弱性が持ち込まれたと言われています。EagleProは、FASTから顧客へメールで文書を共有するために使用されます。

この欠陥は、システム内の任意の画像を表示するために悪用される可能性がありました。EaglePro 経由で送信された文書は、ImageDocumentID パラメータを持つ URL から表示されましたが、このパラメータを他の値に変更することで、認証チェックを行わずに他人の書類を表示できました。

つまり、スキャンのImageDocumentIDが1234で、それを1235に変更して取得した場合、たとえそれが他人の所有物であっても、そのID番号を持つ文書を閲覧できることになります。これらのファイルは、ウェブ検索エンジンによってもインデックス化されていたようで、適切な検索語句を使えば誰でも見つけることができます。また、ID番号は連番で割り当てられていたため、必要に応じてデータベース全体をクロールすることができました。

このバグは2018年12月まで気づかれずにいましたが、保険会社のサイバー防衛チームによるセキュリティ監査でこの脆弱性が発見され、EaglePro開発チームに報告されました。その後、プログラマーたちはこの情報を上層部に伝え、欠陥への対処を勧告しました。

「サイバー防衛チームの報告書の主要な発見事項の一つに、次のような警告があった。『標準的なインターネット検索方法を用いることで、認証を回避し、Google検索で見つかった文書を取得することができた』」とDFSは非難した。「サイバー防衛チームは、この脆弱性によって露出した10件の文書を検証したが、いずれもNPIを含んでいなかったものの、アプリケーションチームに対し、さらに調査を行い、機密文書が露出したかどうかを判断するよう強く勧告した。」

こうした警告にもかかわらず、ファースト・アメリカンの幹部はバグへの対応を遅らせたとされています。その後の調査は行われず、問題は深刻なリスクではないとして軽視され、セキュリティ関連の経験がほとんどない若手社員にパッチ適用の任務が割り当てられたと伝えられています。

「現在に至るまで、EagleProがNPIの送信に使用されるのを阻止する唯一の手段は、ユーザーに対しNPIを送信しないよう指示することだけだ」とDFSは主張した。同局は、ファースト・アメリカンに対し、データ保護、アクセス監視、リスク評価、従業員研修に関する州の規則および規制に関する6件の違反を告発した。

保険会社の広報担当者は次のように語った。

ファースト・アメリカンもこの事故に関してSECの調査を受けている。®

Comparisons

Smart Recommendations

Discover More