エキファックスの技術セキュリティは非常に悪質であるため、上院議員は同社の無能さを違法とする米国の法律を可決したいと考えています。

Table of Contents

エキファックスの技術セキュリティは非常に悪質であるため、上院議員は同社の無能さを違法とする米国の法律を可決したいと考えています。

別の議会調査によると、信用格付け監視機関のエキファックスは、2017年にハッカーによる徹底的な攻撃を受けるまで、何年にもわたる警告や危険信号を無視し、約1億5000万人の米国人、英国人、カナダ人の個人情報を盗み出した。

米国上院国土安全保障・政府問題委員会による調査[PDF]では、信用調査機関がハッキング被害の前後双方において過失を犯していたことが判明した。委員会の調査結果が今週公表されたのは、昨年末に下院議員が発表した同様に厳しい報告書に続くものだ。

上院委員会によると、Equifaxのスタッフは2015年に自社のシステムが厳重に保護されておらず攻撃に対して脆弱であることを知っていたにもかかわらず、ネットワークを適切に保護せず、最終的に2年後にApache Struts 2のインストールにおけるセキュリティホールを突いて攻撃を受けたという。このセキュリティホールに対するパッチは公開されていたものの、展開されていなかった。

上院議員の報告書は、データベース侵害に至るまでのEquifaxにおける情報セキュリティの機能不全の広範な実態を描き出しており、セキュリティチーム間のコミュニケーション不足もその一つであった。Strutsアプリケーションの管理者はセキュリティ関連のメーリングリストに登録されておらず、セキュリティチームの上級管理職は脆弱性リスクについて議論される月例会議に出席していなかった。

その結果、Equifaxはデータ盗難発生から1か月後の2017年8月までStrutsの脆弱性を修正できなかったと報告書は指摘している。委員会は、修正パッチが適用された後も、プロセスは混乱をきたし、組織化されていないと指摘した。

「Equifaxの脆弱性スキャンシステムは、同社の地域的なパッチ管理プロセスとは切り離されたグローバルプロセスだった」と調査報告書は述べている。「Equifaxの元グローバル脅威・脆弱性管理チームのディレクターは、小委員会のスタッフに対し、パッチ適用は地域限定の場合もあれば、グローバルな場合もあると語った。」

パッチ適用の問題も新しい現象ではありませんでした。2015年、内部監査により、Equifaxの社内ソフトウェアに数千件もの未修正の脆弱性が発見されました。

「監査の結果、Equifaxが脆弱性を適時に修正していなかったことが明らかになりました」と上院議員らは述べた。「例えば、8,500件を超える中程度、高度、または重大な脆弱性が存在し、その大部分は90日以上未解決のままでした。」

親指

大規模なハッキングで1億4800万件の個人情報が流出した後、Equifaxに対する集団訴訟が進行中だ。

続きを読む

当然のことながら、委員会がサイバーセキュリティの対応において「過失」と断定したこの企業は、大規模なデータ窃盗への対応についても厳しく批判された。報告書は、ネットワークトラフィック監視デバイスのSSL証明書の有効期限切れにより、Equifaxが数ヶ月にわたり侵害を検知・発見できなかったこと、そして同社が情報公開に6週間もかかったことを改めて指摘した。

現在、委員会は、このようなセキュリティ災害が二度と起こらないよう、連邦レベルで対策を講じるよう議会に勧告している。上院議員らは、企業に基本的なセキュリティ対策を講じ、顧客への通知に関する定められた手順に従うことを義務付ける法律を制定・可決するよう、議員らに強く求めている。

「議会は、PII(個人識別情報)を収集・保管する民間事業者に対し、サイバー攻撃やデータ漏洩を防ぐための合理的かつ適切な措置を講じることを義務付ける、全国統一基準を定める法案を可決すべきだ」と委員会は主張した。「議会は、データ漏洩の被害を受けた民間事業者に対し、影響を受けた消費者、法執行機関、そして適切な連邦規制機関に不当な遅延なく通知することを義務付ける法案を可決すべきだ。」®

Discover More