Tutorials Brawte nfaq 0 Comments

エクイファックスの大規模ハッキングの実態を暴く文書が、怒りを掻き立てるほどの栄光とともに公開される

Table of Contents

エクイファックスの大規模ハッキングの実態を暴く文書が、怒りを掻き立てるほどの栄光とともに公開される

2017年にエキファックスから1億4800万件の個人記録が盗まれた原因となった欠陥を概説した米国議会の報告書は、驚くべき失敗のリストを明らかにした。

下院監視・政府改革委員会の96ページの報告書(PDF)によると、同社が基本的なセキュリティ対策を講じていれば、2017年のネットワーク侵害は簡単に防ぐことができたはずだという。

「しかし、エキファックス社はこの機密データを保護するための適切なセキュリティプログラムを導入できなかった」と報告書には記されている。

「その結果、エキファックスは米国史上最大規模のデータ侵害を許してしまいました。このような侵害は完全に防ぐことができたはずです。」

報告書には、期限切れのSSL証明書によって侵入検知システムが19カ月間無効になっていたことや、その不正な証明書のせいでApache Strutsのパッチが2カ月間アンインストールされていたことなど、ハッキングに関するこれまで明らかにされていた詳細の一部が記されている。

報告書によると、EquifaxのITチームはネットワーク上でパッチ未適用のApache Strutsコードをスキャンしたという。しかし、チェックしたのはルートディレクトリのみであり、パッチ未適用のソフトウェアが存在するサブディレクトリはチェックしていなかった。

これらの問題により、攻撃者はEquifaxの自動消費者インタビューシステムに侵入し、数週間かけてネットワーク内を移動して他のデータベースから個人記録を収集することができました。Equifaxは証明書の更新時に初めて、自社のサーバーから大量のデータがコピーされていることに気づき、重大な事態に気付きました。

これら 2 つの問題が攻撃の原因として特定されましたが、報告書では、Equifax の IT 業務が明確な管理体制や各部門にわたる一貫したポリシーがないまま、急速に規模が大きくなりすぎたために侵入が許されたと指摘しています。

設計上の劣悪なITセキュリティ

委員会は、「2005年、エキファックスの元CEOリチャード・スミス氏は積極的な成長戦略に乗り出し、複数の企業、ITシステム、そしてデータの買収に至った。この買収戦略はエキファックスの収益と株価の向上に成功した一方で、この成長はエキファックスのITシステムの複雑さを増大させ、データセキュリティリスクを拡大させた」と結論付けた。

「2017年8月、エキファックスが情報漏洩を公表する3週間前、スミス氏はエキファックスが毎日、議会図書館が保管するデータの「ほぼ1,200倍」の量を管理していると自慢していた。」

さらに、この報告書では、Equifax は何年も前からこれらの欠陥を認識しており、2015 年に内部監査でソフトウェア パッチ適用プロセスに問題があることが発見され、2016 年と 2017 年の両年で MSCI Inc. の報告書で Equifax のネットワーク セキュリティが「10 点満点中 0 点」と評価されていたと指摘しています。

怒り

Equifaxの大規模ハッキングで被害を受けていない人は立ち上がってください。おっと、おっと、みんな座ってください。

続きを読む

2015年の監査により、1970年代に遡るSolaris環境であるACISが他のデータベースから適切に隔離されておらず、その欠陥により攻撃者が通常ではアクセスできない数十のシステムにアクセスできたことが判明した。

「ACISアプリケーションは、業務機能を実行するためにEquifax環境内の3つのデータベースへのアクセスのみを必要としたが、ACISアプリケーションは他の無関係なデータベースから分離されていなかった」と報告書は指摘している。

「その結果、攻撃者はアプリケーションの資格情報を使用して、ACIS 環境外の無関係な 48 個のデータベースにアクセスしました。」

Equifaxは、自社のサーバーが乗っ取られたことが明らかになった後、ApacheのパッチをインストールしていなかったITスタッフのせいにして、その人物を解雇した。報告書は、Equifaxの不祥事には、このスケープゴート以外にも多くの人々が関与していたことを明確に示している。

同様の攻撃を防ぐため、報告書は信​​用調査機関に対し、収集される情報の内容、その保管方法、そして共有相手について人々に明確に伝えるための追加要件をいくつか推奨しています。また、社会保障番号を個人識別情報として使用することをやめ、金融・信用セクターの企業にIT構造の近代化を促すことも提言しています。®

追加更新

EquifaxはThe Registerに以下の声明を送った。

同社は「非常に専門的で重要な情報を含む100ページの報告書を検討し、回答するための十分な時間を委員会が与えなかったことに深く失望している」と述べた。

昨日発表される前に与えられた数時間という予備的なレビューにおいて、重大な不正確な点が見つかり、事実関係の多くに同意できない点がありました。これは残念なことであり、2017年のサイバーセキュリティインシデントへの対応における私たちの経験から学びたいと願う人々のために、委員会が信頼できる包括的な公開資料を作成するという私たちの希望を損なうものです。

クレジット業界は、報告書のどの部分が不正確であるかをまだ特定していない。

Tutorials

Smart Recommendations

Discover More