TalkTalkインシデント管理：タイムライン

タイムラインTalkTalk は、今年同社が経験した 3 度目となるデータ侵害に関して、矛盾した声明を発表しました。これにより、同社の顧客にデータに関する不十分な情報が提供され、一方で、実質のない、時には支離滅裂な PR 発表によって、同社のセキュリティ対策に関する疑問から同社は事実上遮断されました。

15歳の少年がコンピューター不正使用法違反の容疑で逮捕された事件について、The Registerは次のようにまとめている。

TalkTalk.co.ukの障害について、初めて報じたのは10月21日（水）の午後でした。同社によるこの件に関する最初の声明では、顧客データが漏洩したという示唆は一切なく、障害の原因は特定されていない技術的な問題にあると説明されました。

2015年10月21日：TalkTalkウェブサイトは現在ご利用いただけません。現在、技術的な問題が発生しており、エンジニアが復旧に取り組んでおります。ご不便をおかけして申し訳ございません。

その後、トークトークから、サイトは同社自身によって削除されたという最新情報が得られた。これは同社が技術的な問題に直面していたという主張と矛盾しないが、同社は後に、サイバー攻撃に対応するだけでなく、顧客から警察まで関係者に事件について通知していると発表していた時期と重なる。

2015 年 10 月 21 日: TalkTalk.co.uk を一時的に停止しましたが、通常のサービスはできるだけ早く再開されます。

実際、サイバー攻撃に関する言及はその後24時間ありませんでした。トークトークが攻撃を受けたと主張し、顧客のデータが侵害された可能性があると警告する声明を発表したのは、10月22日木曜日の夕方になってからでした。これは、トークトーク自身の声明によれば、同社が最初の攻撃に対し、顧客のデータ保護に特化して対応してから24時間以上経ってからのことでした。

2015 年 10 月 22 日: ウェブサイトが攻撃を受けていることが判明し、データ保護のためサイトを閉鎖しました。

攻撃に関する詳細は、当時も今もほとんど明らかにされていません。トークトークは、顧客に提供した当初の漏洩の可能性がある個人識別情報（PII）リストにおいて、顧客に関する保有情報をすべて列挙しただけだったようです。この時点では、攻撃内容、標的、そして実際に漏洩した情報については一切示唆されていませんでした。

2015 年 10 月 23 日: 昨日、弊社の Web サイトが大規模かつ継続的にサイバー攻撃を受けたことを受けて、ロンドン警視庁サイバー犯罪課が刑事捜査を開始しました。氏名、住所、生年月日、電話番号、電子メールアドレス、TalkTalk アカウント情報、クレジットカード情報、銀行口座情報などの一部のデータが侵害された可能性があります。

TalkTalkの声明は技術的に支離滅裂になりつつあり、The Register紙の取材に対し、顧客データの損失は分散型サービス拒否（DDoS）攻撃によるものだと主張しました。DDoS攻撃はネットワークリソースへの負荷を増加させ、ウェブサイトをオフラインにすることしかできず、そのリソースから情報を取得することはできません。しかし、ご存知の通り、TalkTalkは既にTalkTalk.co.ukをオフラインにしたのは同社自身だと主張していました。

トレンドマイクロのリック・ファーガソン氏は、 The Register紙の取材に対し、2つの攻撃が同時進行し、「DDoS攻撃で前庭に火を灯し、その間に犯人が裏庭から忍び込んだ」可能性は「十分にあり得る」と述べた。「今回が初めてではないだろう」

8月にカーフォン・ウェアハウスの顧客240万人の個人情報を盗んだハッカーたちは、煙幕を張ったDDoS攻撃を好んで使用したとされている。

しかしトークトークは、同社のウェブサイトに影響を与えた単一の攻撃のみが標的となり、「コアシステム」は影響を受けなかったと主張した。

トークトークは、顧客情報をどこに保管していたかについて、未だに一切の情報を提供していません。従来、サービスプロバイダーの「コアシステム」と「ウェブサイト」は、顧客データが実際にどこに保管されているかという観点から区別されてきました。ウェブサイトは、実際の業務運営のための保護されたフロントエンドに過ぎません。

TalkTalkの声明のURL（http://help2.talktalk.co.uk/oct22incident）からもわかるように、このインシデントは10月22日に発生したとされていますが、これは実際の発生日よりも1日遅い日付です。TalkTalkはその後、攻撃を受けていることに気付いてからサイトを閉鎖し、顧客のデータが侵害された可能性があることを通知するまでの間に遅延はなかったと主張しています。実際には、これらの事象の間には数日間の期間があり、TalkTalkはどのデータが侵害された可能性があるのかを未だに確認できていません。

10月23日（金）、ダイド・ハーディングCEOはBBCのインタビューに応じ、攻撃そのものに関する具体的な情報は明らかにしなかった。代わりに、CEOはメールで身代金要求の通知を受け取ったと主張したが、それ以上の説明は「進行中の犯罪捜査」に関わるため拒否された。

身代金要求の正当性についてはそのインタビューでは触れられなかったが、解説者たちが急いで犯人を特定し、トークトークのデータがウェブ上で売られていることを指摘したため、注目をそらす広報活動としては大きな成果となった。

トークトークのCEOは、窃盗犯が「アクセス」したデータが暗号化されていたかどうかを未だに「知らない」とどうして言えるのでしょうか？茶番劇の域を超えています。https://t.co/mfzuM1c17i
— リック・ファーガソン (@rik_ferguson) 2015年10月23日

同社は金曜日に再びレジスター紙に対し、保有する顧客データの全てが暗号化されているわけではないことを認めながらも、自社のシステムは「可能な限り安全である」と考えていると主張した。

ハーディング氏がトークトークが顧客の銀行口座情報を暗号化していなかった可能性があると認めたのは、盗まれた情報が「不完全」であると主張して顧客を安心させるためだった。

2015 年 10 月 24 日: 現在では、アクセスされた可能性のある金融情報の量は当初考えられていたよりも大幅に少なく、それだけでは犯罪者がユーザーのアカウントから金銭を盗むことはできないと予想しています。

このことは、トークトークのセキュリティ、特に安全な保管方法に関して懸念を引き起こしました。クレジットカード情報の数字をわずかに難読化しただけでは、トークトークの顧客がフィッシングメールやなりすまし詐欺に遭うリスクを完全に軽減できるとは限りません。ハーディング氏はサンデー・タイムズ紙のインタビューで、この点については懸念していないと明言しました。

2015 年 10 月 25 日: 暗号化されていません。また、暗号化することが法的に義務付けられているわけでもありません。当社は、財務情報の保管に関するすべての法的義務を遵守しています。

TalkTalk は、ユーザーのデータを暗号化する法的義務を負っていないと主張していますが、これは 1998 年データ保護法 (DPA) の原則 7 の解釈次第で正しい可能性があります。この原則では、次のようにのみ述べられています。

個人データの不正または違法な処理、および個人データの偶発的な紛失、破壊、または損傷に対して適切な技術的および組織的措置が講じられるものとします。

トークトークがDPAに過失違反していないと主張する上で、「適切」とみなされるセキュリティ対策を明確にすることが鍵となるだろう。ハーディング氏がBBCのインタビューで「申し訳ありません」と軽く謝罪したにもかかわらず、トークトークはこれまでのところ責任を免れている。トークトークのウェブサイトはDPA違反を否定し、「これは犯罪行為です。[情報コミッショナー事務局（ICO）]に通報し、今後数週間から数ヶ月にわたり緊密に連携していきます」と述べている。

ICOへの通知は、トークトークが株式を公開した木曜の夕方に行われた。

YouTubeビデオ

ハーディング氏は10月26日月曜日午後1時にビデオ声明を発表したが、攻撃に関する詳細は明らかにしなかったほか、犯罪者がトークトークの顧客を狙うためにどのような情報を盗み、使用したかについても説明しなかった。

影響を受ける顧客の数と盗まれた可能性のあるデータの量は、当初懸念されていたよりも少ないです。

当社サイトでは暗号化されていないデータは保存されません。盗まれた可能性のあるクレジットカード情報は、中央の 6 桁が空白になっており、金融取引には使用できません。

マイアカウントのパスワードは盗まれていません。

小切手を発行したり、口座に入金してもらうために誰かに渡したりするときにすでに共有している銀行の詳細以外は、取得されていません。

トークトークのウェブサイトがサイバー攻撃を受けてから1週間以内の月曜日の夜に15歳の少年が逮捕されたことを受けて、同社は被害者であることを表明し、「サイバー犯罪者はますます巧妙化しており、オンラインでビジネスを行う企業に対する攻撃はますます頻繁になっている」と嘆いた。

この時点で、ハーディング氏は、データスパムを行っている通信会社との関係を解消したい顧客に対する同社の対応を緩和し始めた。