1億4,300万人が被害を受けている「米エキファックス情報漏洩」の顛末

wired-headers2400-B1-2267d09330b6a6be46fa0aef57aa0decb1538af9

米国の三大信用調査会社のひとつエキファックスが、1億4,300万人分の重要個人情報が流出した可能性があると発表し、確認と対応のための専用サイトを開設した。個人はどう対応すべきなのだろうか。その深刻な被害は、遠い海の向こうの事例と見過ごすわけにはいかない。

TEXT BY LILY HAY NEWMAN
TRANSLATION BY MAYUMI HIRAI/GALILEO

WIRED(US)

IMAGE BY LA TIGRE FOR WIRED US

データ漏洩がよいことであるはずはないが、場合によっては許容できるものもある。誰だって、自分が利用している銀行がハックされたと聞くよりは、行きつけの花屋がハックされたと聞くほうがましだろう。

最も困るのが、米国において非常に重要な個人IDであるソーシャル・セキュリティ・ナンバー(社会保障番号)のような、「変更できない個人データ」の盗難だ。そうした盗難を招いた、米人事管理局(OPM)保険会社のアンセムで発生したデータ漏洩事件などは非常に影響が大きい。

今回、その対象リストに、米国の大手信用報告書作成企業であるエキファックスが加わることになった。

米国人口の44パーセントが影響を受ける

エキファックスは9月7日(米国時間)、7月29日に見つかったデータ漏洩の影響は、米国の1億4,300万人に及ぶ可能性があると発表した。同社は、消費者の信用度を計算する米国の3大信用情報会社のひとつだ。そのため、米国成人のほぼ全員に関する膨大な個人データや財務データにアクセスできる立場にある。

エキファックスは、5月中旬から7月にかけて、ウェブアプリケーションの脆弱性を利用してハッキングされたと説明している。漏洩したのは、氏名や社会保障番号、生年月日、住所、一部の運転免許証番号と、20万9,000件近くのクレジットカード番号だ。さらに、18万2,000件の「紛争文書」(本質的には不服の申し立てであり、個人を特定できるデータが含まれる)も漏洩の対象となった。

全体的に見ると、米国人口の44パーセントにのぼる人々が、今後何年もの間、今回の漏洩の影響を感じ続けることになるだろう。特に問題になるのが社会保障番号だ。

セキュリティ企業のイミュニティで脅威情報部門を率いるアレックス・マックジョージは次のように述べる。「社会保障番号は、一生のあいだ変わりません。つまり、これらのデータは闇市場で転売され、当分はその価値をもち続けることになります」

専門家の予想によると、データを盗んだのが犯罪組織だと仮定するなら、そのデータは何年にもわたって流通するという。

自分の身を守るためにできることはいくつかある。エキファックスでは、データが漏洩した可能性がある1億4,300万人のなかに自分が含まれているかどうかを確認できるウェブサイトを提供している(英国およびカナダにも、少数だが被害者はいる)。

現時点では、自分のデータが影響を受けたかどうかについての情報が、このウェブサイトで簡単に得られるわけではないが、影響を受けていない場合は教えてくれるようだ。さらに、米国在住者であれば、信用情報の監視と、なりすまし犯罪への保険を、このサイトから1年間無料で申し込むことができる(登録が必要)。

今回情報が漏れた可能性のある人は、エキファックスが提供する1年間の無料期間が終了したあとも、数年間は有料の信用情報監視を続けることを検討したほうがいいかもしれない。最初の1年が経過し、攻撃を受ける恐れのある多くの人々の無料監視が終了してから、漏洩データを本格的に悪用した方が、攻撃する側にとって有利になる可能性があるからだ。

流出はどうして起きた?

自分の財務状況についても注意する必要がある。SAPナショナル・セキュリティ・サーヴィシズ社長のマーク・テストーニは、「消費者は冷静さを保ち、自分の個人信用報告書や個人信用の動きを把握しておくことが必要です」と述べる。

「通知書に目を通し、自分の名前で新しいクレジットの申込みが提出されていないか確認し、自分に不利益なことが行われていないか、口座を監視してください。詳細情報が闇市場に流通した場合に大きなリスクとなるのは、本人に代わってクレジットを申し込んだり、悪意のある人物が個人データを悪用する方法を見つけようとしたりすることです」

エキファックスでは、今回の漏洩の犯人については明らかにしておらず、警察が捜査中だと述べている。エキファックスと契約している第三者や、同社の最も重要なウェブアプリケーションに影響が及んでいるのかどうかも不明だ。

漏洩の一部である「紛争文書」データは、どちらかといえば特殊なものであり、攻撃を受けた脆弱なウェブアプリケーションが、顧客の苦情受付サーヴィスや、顧客フィードバックのログなどのデータベースをホストするサーヴァーであった可能性を示している。

エキファックスは、同社の中核である信用情報報告書作成用データベースは被害を受けていないと主張しているが、実際に発生したデータ漏洩の規模を考えると、ほとんど慰めにはならない。

「1億4,300万人が被害を受けた可能性があるというのに、中核データに被害がないというのなら、漏洩したデータはどこにあったのかという疑問が出てきます。中核ではないどの部分に、これらのデータは置かれているのでしょうか」とイミュニティのマックジョージは述べる。

エキファックスは、個人を特定できる非常に価値が高いデータを扱っているため、ハッカーたちの攻撃対象となっていることは明らかだ。一方で、同社が個人情報保護やなりすまし犯罪防御の製品を販売していることを考えると、皮肉な側面もある。

同社会長兼CEOのリチャード・スミスは9月7日付けの声明のなかで、「弊社にとって明らかに残念な出来事であり、わたしたちが誰であり、何をしているかということの核心を突くものです。今回のことで消費者や顧客の皆様にご心配やご迷惑をおかけしたことをお詫び申し上げます」と述べている。「わたしたちは、データの管理と保護を主導する立場であることに誇りをもっています」

今回の漏洩がどのようにして起きたのか、エキファックスの誰が、何を、どの時点で知ったのかなど、今後さらに疑問が出てくるだろう(同社がサイバー攻撃について公表する前に幹部らが自社株を売却した疑いで、米司法省が刑事捜査を開始したと報道されている)。いずれにしても、同社のスミス会長兼CEOは、同社の宣伝文句を見直す必要がありそうだ。

  • このエントリーをはてなブックマークに追加

関連記事

話題をチェック

  1. 600x601x20170822nana.jpg.pagespeed.ic.u5ed1iTQeL-e5b3de5c391c8e3805df72a8cdb3da051ece71fa

    ANA、機内食総選挙2017の結果発表 和食は牛すきやき丼、洋食はビーフシチューとオムライス

    Sponsored link  機上ӗ…
  2. MIT-Instant-Retouch-TA-12db540ca97a6020f2db78ca5b27647ac89d2f28

    機械学習を用いれば、写真が「撮影する前」からプロ仕様の美しさに──グーグルとMITがアルゴリズムを開発

    NEWS 2017.08.22 TUE 08:00マサチ&…
  3. GettyImages-496380034-e1503241697905-b18cea347ee2933a806af5a4adfa2f3d9569add1

    「世界共通のインターネット」を巡る、グーグルとカナダ最高裁との闘い

    NEWS 2017.08.21 MON 07:00カナダ&…
ページ上部へ戻る