古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

Equifaxの情報流出は「人為ミスと技術的失敗」、前CEOが証言

ITmedia エンタープライズ のロゴ ITmedia エンタープライズ 2017/10/03
Equifaxの情報流出は「人為ミスと技術的失敗」、前CEOが証言: Equifaxは、情報流出事件について、影響を受けた米国の顧客は当初の発表より250万人多い計1億4550万人だったと発表している © ITmedia エンタープライズ 提供 Equifaxは、情報流出事件について、影響を受けた米国の顧客は当初の発表より250万人多い計1億4550万人だったと発表している

 米信用情報機関大手のEquifaxから顧客の個人情報が大量に流出した事件に関連して、責任を取って辞任した前CEOが、米下院の委員会で事件の経緯を説明した。同社は10月2日、影響を受けた米国の顧客は当初の発表より250万人多い計1億4550万人だったと発表している。

 この事件ではEquifaxが9月7日の発表で、消費者の個人情報が大量に流出していた事実を公表。その後の調査で、米国のWebサイトのアプリケーションに存在していたApache Strutsの既知の脆弱性(CVE-2017-5638)を悪用されていたことが分かった。

 Equifaxのリチャード・スミス前CEOは責任を取る形で辞任し、最高情報責任者と最高セキュリティ責任者も交代人事が発表されている。スミス氏は10月3日に行った米下院小委員会での証言で改めて謝罪し、事件が起きた経緯を説明した。

 それによると、米国土安全保障省のセキュリティ機関US-CERTから、Apache Strutsの脆弱性についてパッチを適用するよう通知があったのは2017年3月8日。Equifaxは消費者向けのWebサイトでStrutsを利用していた。

 Equifaxは3月9日の社内メールでStrutsを更新するよう担当者に指示したが、48時間以内の対応を定めたセキュリティ部門の規定があったにもかかわらず、この時点では社内でStrutsの脆弱性は発見されず、対応も行われなかった。

 さらに、3月15日に情報セキュリティ部門が行ったスキャンでもStrutsの脆弱性は検出できず、EquifaxのWebアプリケーションに存在していた脆弱性が放置される形になった。

●セキュリティツールでは不正アクセスを検知できず

 この脆弱性を突く不正アクセスが初めて発生したのは5月13日。以後、7月30日までの間に何度もセンシティブな情報に不正アクセスされていたことが後に発覚したが、その時点でEquifaxのセキュリティツールでは不正アクセスを検出できなかった。

 7月29日になってようやく、同社のセキュリティ部門が消費者向けWebサイトに関連した不審なネットワークトラフィックに気づいてこのトラフィックをブロックした。同月30日にも再び不審な挙動が確認されたことから、問題のWebアプリケーションを完全に停止させたという。

 しかしその時点で既に、顧客のクレジットカード番号を含む大量の個人情報が流出していたことが、以後の調査で分かった。スミス氏は、「今回の事件は人為ミスと技術的失敗の両方が原因で発生した」と振り返っている。

 流出の規模については、セキュリティ企業Mandiantによるフォレンシック分析の結果、影響を受けた可能性がある消費者は米国で約1億4550万人、カナダでは約8000人に上ることが判明。英国での影響についても分析を進めているという。

ITmedia エンタープライズの関連記事

image beaconimage beaconimage beacon