Interviews Brawte nfaq 0 Comments

おい、お前ら。エキファックス。1500万人のイギリス人の個人情報をハッカーに漏らした罪で50万ポンドも支払え。

Table of Contents

おい、お前ら。エキファックス。1500万人のイギリス人の個人情報をハッカーに漏らした罪で50万ポンドも支払え。

更新:英国のプライバシー監視機関は、ハッカーが信用スコア機関のデータベースから1500万人の英国人の情報を盗み出したことを受けて、エキファックスに50万ポンド(66万ドル)の罰金を科そうとしている。

言い換えれば、被害を受けた英国民一人につき3ペンスです。

もしこれが欧州のGDPRの適用下にあったなら、罰金ははるかに高額になっていた可能性があった。しかし、今回のセキュリティ侵害は今年施行された強硬規制よりも以前に発生したため、英国情報コミッショナー事務局(ICO)は、旧データ保護法に基づく最高額となる50万ポンドの罰金を科すこととなった。

2017年、アメリカの金融サービス企業Equifaxは、Apache Struts 2のセキュリティ脆弱性を悪用した攻撃を受けました。この脆弱性にはパッチが存在していたにもかかわらず、EquifaxのITスタッフがインストールしていませんでした。その結果、サイバー侵入者は約1億5000万人のアメリカ人、約1500万人のイギリス人、その他多くの人々の機密個人情報を盗み出しました。

その 1,500 万件のうち、20,000 件のレコードには氏名、生年月日、電話番号、運転免許証番号が含まれ、637,000 件のレコードには氏名、生年月日、電話番号が含まれ、残りは氏名と生年月日でした。

笑う

Equifax: 失った英国の記録40万件についてですか?今は1520万件です。そうです、MはMEELLLION(百万)の頭文字です。

続きを読む

また、約27,000人の英国人のEquifaxアカウントの電子メールアドレスも盗まれ、15,000人の英国人の氏名、住所、生年月日、アカウントのユーザー名とプレーンテキストのパスワード、アカウント回復用の秘密の質問と答え、隠されたクレジットカード番号、および支出額がハッカーに盗まれた。

最後のロットの情報は、「標準日次不正レポート」と呼ばれる文書に保存されていました。これは運用データから作成され、システム管理者やその他のITスタッフがアクセスできるファイル共有に保存されていました。そのため、ハッカーがアクセスできたのです。皮肉なことに、このファイルはEquifaxの不正調査チームがクレジットカード詐欺の疑惑を調査するために毎日作成されていました。

2017年3月に米国国土安全保障省からEquifaxのITインフラが安全でないとの警告を受けていたにもかかわらず、2017年5月13日から7月20日にかけて、犯罪者たちはEquifaxのシステムに侵入しました。米国は文字通り、同社のStruts 2フレームワークにリモートから悪用可能なセキュリティホール(CVE-2017-6538)が存在すると警告したのです。

しかし、内部プロセスと監査の不備により、ソフトウェアにパッチが適用されず、サイバー犯罪者が抜け穴をすり抜けて米国ネットワークに侵入することができました。国土安全保障省の警告はEquifax社内に伝わったと伝えられていますが、システム管理者はStruts 2フレームワークで稼働している公開顧客紛争処理ポータルの更新の必要性に気付かず、パッチが適用されずに放置されていました。

5月の侵入に先立つ3月10日には、Equifaxのセキュリティが不十分なシステムに侵入する攻撃者が既に存在していました。同社は、ネットワークトラフィックを検査し、1億5000万件もの顧客記録を盗み出すような不正行為がないか確認するための機器を導入していましたが、ITスタッフが何ヶ月もの間、機器のデジタル証明書を更新していなかったため、暗号化された接続が検査されていませんでした。そのため、攻撃者は誰にも気づかれることなく、暗号化されたチャネルを介してデータを密かに持ち出すことができました。

7月29日、証明書の更新に伴い、Equifaxの米国支社はハッキング被害に気づき、8月下旬には英国側も被害に遭っていたことが判明した。同社のITスタッフは、ハッカーが実行したデータベースクエリをテスト環境で再現し、何が抽出されたのかを解明する必要があり、その設定には時間を要した。

その年の9月7日、米国側は英国に拠点を置くEquifax Ltdに悪い知らせを伝え、翌日、その子会社はICOに対して不正アクセスを受けたことを認めた。当初、影響を受けた英国人は40万人未満だと示唆していたが、その後、その数字を150万人にまで引き上げ、最終的にはゼロを一つ加えて修正した。

伝えられるところによると、ICOは英国の金融行動監視機構と並行してコンピューターセキュリティ侵害を調査し、最終的に最大限の罰金を科すことに決めたという。

英国の情報コミッショナー、エリザベス・デナム氏は木曜日に次のように述べた。

エキファックスは罰金に対して控訴することができ、もし罰金を支払った場合、その金は英国政府の公金に充てられることになる。なお、現在までに英国では同社に対して罰金が科されたことはない。エキファックスは2017年に34億ドルの収益から5億8,700万ドルの利益を上げた。そのため、幹部の一人が66万ドルの罰金を経費として計上する可能性もある。

同社は本稿の発表時点ではコメントを発表していない。®

追加更新

Equifax から次のような声明が届きました。

Interviews

Smart Recommendations

Discover More