Equifaxは、1億4,300万人の個人情報が漏洩した事件の原因は、ハッキング発生の数ヶ月前に修正されたApacheの脆弱性にあると主張した。問題の脆弱性(Apache StrutsのCVE-2017-5638)は3月に修正されていたが、侵害は5月に開始された。
9月初旬のハッキング事件発覚以来、Equifaxは厳しい批判に直面している。主な苦情の一つは、同社の個人情報保護サービス「TrustedID Premier」の利用規約に関するもので、利用者は同社を訴える権利を放棄する必要があるとされていた(Equifaxはその後、この利用規約を変更した)。もう一つの苦情は、TrustedID Premierサービスの無料提供期間が1年間のみであり、これは短期的な効果しか期待できないという点だった。
もう一つの苦情は、情報漏洩の発覚から公表までの数日間に、幹部3人が合計180万ドル相当の株式を売却したというものでした。Equifaxは、幹部らが株式を売却した時点ではハッキングに気づいていなかったものの、タイミングは疑わしいと指摘しました。同社の株価が下落していることを考えると、幹部らが事件の公表前に資産を守ろうとしたとしても不思議ではありません。
おそらく最も懸念される批判は、侵害の前後における同社のサービスのセキュリティ確保の不備です。このハッキングは、修正済みの脆弱性によって可能になりました。アルゼンチン人に関する同様の個人情報を含むオンラインポータルは、「admin / admin」というユーザー名とパスワードの組み合わせで「保護」されていました。この侵害に関するサイトは標準のWordPressで運営されており、そのセキュリティにも疑問が投げかけられました。
Equifaxの情報漏洩は、数億人もの人々を個人情報窃盗や詐欺の危険にさらしただけでなく、無関係な攻撃にもさらされる可能性があります。そのため、FTCはEquifaxを名乗る電話に個人情報を提供しないよう強く求める警告を発しました。今回の情報漏洩によって生じた恐怖、不安、疑念につけ込み、同様の攻撃が仕掛けられる可能性は高いでしょう。
これは、今回の情報漏洩の余波のほんの始まりに過ぎません。その影響は、おそらく長期間にわたって続くでしょう。侵害された情報は永久に価値を維持し、犯罪者はそれがもたらす恐怖を可能な限り長く利用しようとし、研究者たちはEquifaxをはじめとする企業に対し、同様の攻撃を未然に防ぐよう、引き続き追及し続けるでしょう。シートベルトを締めてください。これは長引く道のりになるでしょう。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
