英国の金融サービス規制当局は、メディアの報道を通じて初めて、今年のエキファックスの大規模情報漏洩を知った。
この自白は、火曜日に財務委員会が公表した金融行動監視機構(FCA)からの書簡の中で明らかになった。FCAが財務委員会のニッキー・モーガン委員長に宛てた書簡には、FCAが、この情報漏洩への対応について、批判の的となっているFCAの対応を調査中であることが明記されている。
エクイファックスは当初、1億4500万人の米国消費者に影響を与えた情報漏洩が、英国でも40万人の消費者に影響を与えたと発表していた。この発表は9月15日に行われたが、1か月後、同社は情報漏洩が英国の顧客に与える影響を過小評価していたことを認めた。
Equifaxは、今回のトラブルにより、2011年から2016年までの英国の記録1520万件を含むファイルが漏洩したことを認めた。これらのほとんどは重複データまたはテストデータであり、実際には約70万人分の個人情報が漏洩したことになる。Equifaxは、影響を受けた英国の消費者に郵送で連絡すると述べた。
規制対応
FCAの書簡では、2014年にEquifax.co.ukアカウントに関連付けられた693,665人の顧客の運転免許証番号とメールアドレスが漏洩したことが明記されている。FCAは、漏洩した記録の数と詳細に関するEquifaxの数字を受け入れることには満足しているが、Equifaxがこれらの数字を導き出すのにどれだけの時間がかかったかについては依然として疑問を抱いている。
規制当局は、模倣フィッシング詐欺のリスクがあるため、影響を受ける関係者に電子メールではなく手紙で通知するというエキファックスの計画を支持している。
Apache Strutsのパッチ適用漏れに起因するこの侵害は、2017年5月から7月に発覚するまで、未公開のままでした。Equifaxは9月に情報開示するまで数週間の猶予がありましたが、Register誌の以前の記事で詳しく取り上げられているように、侵害通知プロセスをほぼあらゆる場面で不適切に処理していました。問題としては、セキュリティスキャナーがフィッシングサイトと誤認するほどに独自に用意された侵害通知サイトがあまりにも不安定だったこと、経営陣が匿名の技術者1人のせいにしてこの悲惨な事態全体を仕組んだことなどが挙げられます。
もっとたくさん。
エキファックスは、消費者権利擁護団体と情報セキュリティ専門家の両方から激しい批判にさらされている。特に、同社が個人情報保護サービスを提供していることがその理由だ。消費者は、好むと好まざるとにかかわらず、エキファックスのサービスを利用せざるを得ない。なぜなら、同社のサービスは企業が個人の信用度を確認するために利用しているからだ。
FCAはモルガン宛の書簡の中で、現在進行中の調査の詳細を一切明かさずにこの点に触れている。
FCAは、Equifaxに関して関連しているが別の調査を行っている情報コミッショナー事務局と足並みを揃えて作業を進めていると付け加えた。
Equifaxは本当に申し訳なく思っています
財務委員会はまた、モルガン氏からの質問に対する回答として、エキファックスの欧州社長パトリシオ・レモン氏がまとめた11ページにわたる書簡(PDF)を公開した。財務委員会委員長は、FCAへの書簡提出と同時に、エキファックスに対し、情報漏洩の規模と、同社がどのような補償を予定しているかを質問した。エキファックスの英国事業はFCAの認可を受けており、FCAはエキファックスに対し罰金を科す権限、是正措置を命じる権限、あるいは(最悪の場合)英国での事業権を剥奪する権限を有している。
エキファックスは、最も危険にさらされている顧客に対し、10月13日に投書で通知を開始したと述べた。同社はモーガンに対し、「運転免許証番号やEquifax.co.ukの会員情報が影響を受けた可能性のある消費者には、個人情報を監視できる無料の総合ID保護サービスを提供している」と語った。
同社はさらに、サイバーセキュリティ企業Mandiant社にコンピュータフォレンジックとインシデント対応を委託したことを公式に確認した。この調査に基づき、Equifaxは「英国の中核的な消費者信用データ(残高や債務など)や信用照会システムは今回の侵害の影響を受けていない」ことを立証した。流出した英国の顧客データは「一部の英国の法人顧客が消費者の身元確認に使用していた旧来のシステムに関連するもの」だった。
公開されたファイルの 1 つには、Equifax.co.uk サービスの英国加入者約 27,000 人に関連する 96,275 件の記録が含まれていました。
エキファックスは、回答の中で侵害について謝罪し、自社の視点から詳細な時系列を記載しています。調査官は、信用調査機関の侵害対応を評価し、通知プロセスが十分な理由なく遅延したかどうかを検討する際に、この時系列を綿密に検証するでしょう。
Regの読者であるDavidさんが、10月31日(火)のハロウィーンに受け取った手紙のコピーを送ってくださったので、4ページにわたる手紙の抜粋を以下に掲載します。
英国の顧客へのEquifaxの侵害に関する通知
モルガン宛ての書簡の中で、エキファックスは消費者の住所確認に問題があったと述べています。エキファックスが数年前の履歴データの漏洩問題に対処しているとはいえ、信用情報機関がこのような事実を認めたことは、依然として大きな痛手です。「あなたは一つの仕事しか持っていなかった」という言葉が頭に浮かびます…
Equifaxの住所確認の不確実性
冷たい慰め
エキファックスは、今回の混乱により、コールドコール詐欺やその他のフィッシング詐欺のリスクが高まっていると強調している。「当社が通知した英国の消費者の大多数にとって、主なリスクは迷惑なコールドコールです」と同社は述べている。
同社は、英国でのデータ漏洩には、詐欺を成功させるために犯罪者が必要とする可能性のある情報は含まれていなかったとしている。
少なくとも米国では、この情報漏洩に関連した詐欺行為がすでに記録されている。シアトル在住の女性は地元メディアに対し、身元情報が15回盗まれたと語った。®
