英国下院財務委員会の委員長が同社の最近のデータ侵害への対応について説明を求めたため、エキファックスは間もなく英国政治家の怒りに直面することになるかもしれない。
ニッキー・モーガン議員は、Equifax Limitedの最高経営責任者(CEO)に対し、情報漏洩の規模と補償内容に関する詳細情報の提供を求める書簡を送付した。また、金融行動監視機構(FCA)のアンドリュー・ベイリーCEOにも書簡を送り、Equifaxの今回の事件への対応についての評価、そして金融監督機関が更なる措置を検討しているかどうかについて質問した。Equifaxの英国事業はFCAの認可を受けている。
9月7日、Equifaxはサイバーセキュリティインシデントによる影響を受けた口座数が1億4,300万口座(後に1億4,500万口座に上方修正)であることを認めた。このインシデントは米国のシステムを中心に発生し、同社がApache Strutsのパッチを適用していなかったことが原因とされている。また、英国人40万人にも影響があったと、Equifaxは9月15日に発表した。10月10日、Equifaxは既報の通り、英国の口座への影響を過小評価していたと発表した。
Equifaxは現在、2011年から2016年までの英国の記録1520万件を含むファイルが侵害されたと推定しています。内容のほとんどは重複またはテストデータであったため、実際には約70万人の個人情報が漏洩しました。Equifaxは、影響を受けた英国の消費者に郵送で連絡することを約束しました。侵害は2017年5月に始まり、7月に発覚するまで続きました。Equifaxは数週間かけてインシデント対応を軌道に乗せましたが、ことごとく失敗しました。
例えば、Equifaxの侵害対応ウェブサイトequifaxsecurity2017.comは、あまりにも非公式で不完全なため、多くの人がフィッシングサイトではないかと懸念しました。Equifaxは、侵害への対応として無料の信用情報モニタリングに登録すると訴訟権を失うことになると示唆する利用規約を削除せざるを得ませんでした。消費者が自分の個人データが侵害されたかどうかを確認できるように設計されたサイト(trustedidpremier.com)は、正確な警告や保証ではなく、一見ランダムな結果を返すことが判明しました。
セキュリティ監視者たちは、この事態やその他の展開、特に一人の技術者のミスが全ての混乱の原因だとする試みに不快感を示している。財務委員会の委員長は、エキファックスが通知プロセスを不適切に処理したことを懸念している。
「エクイファックスは、広範囲に及ぶサイバーセキュリティ侵害の被害を受けた人々への通知に時間がかかりすぎました。人々は長い間何も知らされずに放置され、個人情報の盗難や詐欺の被害に遭うリスクが高まっています」とモーガン氏は述べた。「特に懸念されるのは、今回の侵害が、個人情報保護サービスを販売し、オープンバンキングなどのデータ共有イニシアチブによってもたらされるビジネスチャンスを活用しようとしている企業で発生したことです。」
元CEO、パッチ適用失敗の責任はエクイファックスのセキュリティ担当者のみにあると主張
続きを読む
Equifaxが、影響力のある財務委員会に召喚されるのか、それともウェストミンスターの他の委員会に召喚されるのかは、現時点では不明です。最近退任したEquifaxの最高経営責任者(CEO)リック・スミス氏は、今月初めに米国下院の消費者保護小委員会に出席し、2時間半の演説の大半を、Equifaxが情報漏洩のニュースを数週間も隠蔽していた理由の正当化に費やしました。また、以前ここで報じたように、Apache Strutsのパッチを適用し忘れたとして、名前を伏せた技術者1人を非難しました。
消費者はEquifaxと取引する以外に選択肢がほとんどないか、全くありません。Equifaxのサービスは、第三者機関が信用スコアを確認するために利用されています。同社はまた、消費者に直接信用監視サービスや詐欺防止サービスも販売しています。史上最悪のセキュリティ侵害の一つによって、これらの消費者がID詐欺のリスクにさらされることは、苦境に立たされているEquifaxに対する反感をさらに募らせるだけです。
昨夜、セキュリティ研究者のランディ・エイブラムス氏が、サイト上で偽のFlash Playerアップデートリダイレクトらしきものを発見したと発表しました。エイブラムス氏はここに動画を掲載しています。99個の問題があり、まあ…ウェストミンスターは対策を講じた方が良いかもしれません…®
