なんとも恥ずかしい話です。Equifaxは、1億4,300万人のアメリカ人の個人情報が漏洩した最近のデータ侵害について、詳細情報を求めていた人々を、社会保障番号の下6桁やその他の機密情報を盗む可能性のある偽のウェブサイトに誤って誘導したのです。
Equifaxは、データ漏洩が明らかになった際、ハッキングによって自分の情報が漏洩したかどうか、また漏洩した場合にどう対処すればいいのかを知るための専用ウェブサイトを開設しました。そのウェブサイト(本物)は「equifaxsecurity2017.com」です。似たようなデザインの模造サイトのURLは「securityequifax2017.com」でした。これらのURLは、人々が気付くほどに異なっていると思うかもしれませんが、それは間違いです。
これらのアドレスは、Equifaxの複数の従業員がTwitterで偽ウェブサイトへのリンクを共有した際に、十分に類似していたようです。誤解のないよう明確に申し上げますが、史上最悪の情報漏洩の一つへの対応を支援するはずの従業員が、機密情報の入力を求める偽ウェブサイトへのリンクを共有したのです。ハッキングの被害に遭ったかどうかを確認しようとするだけで、個人情報が漏洩する可能性がありました。
朗報があります。ウェブサイトを開設したと主張する人物は、Equifaxが自社サイト開設時に犯したミスを指摘したかっただけだったのです。同社は、侵害に関する情報をメインサイトに掲載する代わりに、簡単に偽装できるURLを持つ専用ページを設置し、従業員でさえ把握できない状態にしました。さらに懸念されるのは、これが同社の数々のミスの新たな一因に過ぎないという事実です。
問題は、Apache Strutsの既知の脆弱性がリリースされてから数ヶ月経っても、Equifaxがパッチを当てなかったことに端を発しました。その後、Equifaxが侵害を公表するまでに数日かかり、その間に一部の幹部がEquifaxが無関係だと主張する事件で株式を売却しました。さらに、同社がアルゼンチンのウェブポータルを「admin / admin」という驚くほど安全でないユーザー名とパスワードの組み合わせで保護していたことが明らかになりました。
一方、Equifaxは、TrustedID Premierサービスで、個人情報の盗難や詐欺から保護する代わりに、利用者が同社を訴える権利を放棄することを義務付けたことで批判を浴びました。Equifaxは世論の反発を受けてこの規約を変更しましたが、わずか1年の利用で料金が発生するなど、サービスの他の問題は依然として残っています。(繰り返しますが、この情報は1年で有効期限が切れるわけではないため、Equifaxのサービスはせいぜい時間稼ぎに過ぎません。)
もう一つの朗報は、Google Chromeが偽ウェブサイトを偽装サイトとしてフラグ付けするようになったことです。これにより、社会保障番号の一部を不正なサイトに送信することがより困難になるはずです。Equifaxの情報漏洩は、民主党上院議員による「データブローカーの説明責任と透明性に関する法律」の提出を促しました。この法律は、データブローカーに対し、保管する情報のセキュリティ確保の責任を負わせることを目的としています。特に、これらの企業が個人データを吸い上げ、本人の承諾なしに他の企業に売却するかどうかについて、発言権を持つ人がほとんどいないことを踏まえると、この法律は重要な意味を持ちます。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
繰り返しになりますが、もし人々がこの事件から無事に逃れたとしても、それはEquifaxのおかげではなく、Equifaxのせいでもあるのです。同社は、この事件のあらゆる段階で基本的なセキュリティ対策を講じることができませんでした。脆弱なユーザー名とパスワードの組み合わせの使用、重大な脆弱性に対するパッチの適用未了、従業員がTwitterで悪意のあるウェブサイトへのリンクを共有していたことなどです。同社の過失は、有害であると同時に、弁解の余地もありません。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
