開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2017/10/11

エクイファックスで1.5億人の個人情報漏えい、ちらつく中国の影

連載:米国経済から読み解くビジネス羅針盤

米三大信用調査企業の一角であるエクイファックスが、1億4450万人分の個人情報漏えい事件を起こした。2017年3月から7月の間に、既知のApache Strutsの脆弱性に対するハッカー攻撃を受け、社会保障番号や運転免許証番号・生年月日・住所・クレジットカード情報などを流出させたのである。この問題は、リチャード・スミス最高経営責任者(CEO)の辞任に発展した。7月末の攻撃発覚後、1か月以上も事実を公表しなかっただけでなく、影響を受けた人々への対応がずさんであったことが強く批判され、株価は25%以上も下げている。日本企業のIT関係者は、エクイファックスの失敗から何が学べるのだろうか。

在米ジャーナリスト 岩田 太郎

在米ジャーナリスト 岩田 太郎

米NBCニュースの東京総局、読売新聞の英字新聞部、日経国際ニュースセンターなどで金融・経済報道の基礎を学ぶ。現在、米国の経済を広く深く分析した記事を『週刊エコノミスト』などの紙媒体に発表する一方、『Japan In-Depth』や『ZUU Online』など多チャンネルで配信されるウェブメディアにも寄稿する。海外大物の長時間インタビューも手掛けており、金融・マクロ経済・エネルギー・企業分析などの記事執筆と翻訳が得意分野。国際政治をはじめ、子育て・教育・司法・犯罪など社会の分析も幅広く提供する。「時代の流れを一歩先取りする分析」を心掛ける。

photo
エクイファックスのWebサイト。トップ画面には顧客に対し、情報漏えいがあったかどうかの確認を促すメッセージが表示されている


ずさんなデータ管理の企業文化

 創業が19世紀末に遡るエクイファックスは、「高いセキュリティ」を売り物にしていた。その広告には、「機密情報の漏洩が増加中です。データを守るならエクイファックス。より安心していただけます」と謳っていた

 スミス氏は10月3日の米議会証言で、「Apache Strutsの脆弱性が3月8日に明らかになった際、社内規定に従ってパッチを当てるよう指示した。しかし、あるセキュリティ部門責任者が、実際のパッチ作業を行わなかった」として、責任転嫁とも取れる発言をした。

画像
ほとんどの企業は、自社のハッキング被害規模を過少報告する。こうした傾向について「状況把握ができていない証拠であり、企業ブランドを悪化させる」と指摘する専門家も多い
(出典:Quartz


関連記事
 エクイファックスのセキュリティ最高責任者(CSO)であったスーザン・モールディン氏は、スミス氏の退任と同時に辞任している。スミス氏の発言は、このモールディン氏のことを指したのではないかと受け止められている。ちなみに、モールディン氏はジョージア大学で音楽を専攻した人物で、プロフィールにはITやセキュリティ関連の経歴の記述がなく、適任であったかが調査の焦点のひとつとなっている。

 エクイファックスで15年間データ品質担当副社長を務め、2012年に退職したスティーブ・バンビーレン氏は、「従業員が誰でも、個人が特定できるデータにアクセスできる状況を不快に思っていた。プリントされたデータが放置され、社員が大声で個別のケースについて会話をしていた」と述べ、データがずさんに扱われる企業文化があったことを明らかにした。

 ブルームバーグ通信の調査報道によると、エクイファックスはセキュリティに数千万ドル規模の多額投資を行っていたが、セキュリティのオペレーションセンターやソフトウェアの運用が適切でなく、セキュリティ関連の幹部や要員の退任が相次いでいたという。

 こうした状況が続くなか、2017年3月にApache Strutsソフトウェアの脆弱性が報告される。スミス氏が直接指揮するチームが立ち上げられ、セキュリティ対策大手マンディアントに対応が外注された。ところがエクイファックスは、マンディアントが訓練不足の要員を派遣したとして信頼しなかった。

 こうして両社のコミュニケーションが断絶した機会をハッカーたちは活用し、「こじ開け係」と「データ吸い上げ係」に分かれて情報を盗んだことが、システムのブラックボックスに相当するMolochの解析から判明している。ブルームバーグ通信の調査報道は、内部の者が「こじ開け係」としてハッカーの手を引いた可能性があると、捜査当局が疑っていると伝えている。

ちらつく中国の影

 だが、今回の事件では1億4450万人分の膨大なデータが盗まれたにもかかわらず、なぜか情報がダークウェブで売買されていないという不自然さが、専門家の間で指摘されている。金目当てではなく、詐欺やスパイ目的で特定の個人の情報を探り当てようとしたとの説も出ている。

 そこにちらつくのが、中国の影だ。ハッキングに使われた「チャイナ・チョッパー」などのツールの多くが中国製であることが、その疑いを深めている。同じツールは米医療保険大手アンセムや米連邦人事管理局への攻撃に使われた。これらの事件は、中国当局の仕業と断定されている。

 また、ハッカーたちはバックドアの一つであるWebshell(ウェブシェル)を30個以上もエクイファックスのシステムに埋め込んだ。そして、どれかが発覚しても別のshellで犯行を続行できるようにしていた。これは、中国諜報機関が関与していると目される攻撃集団「Shell Crew」の手口と同様である。

 とはいえ、そうしたツールや手口は中国以外でも利用されるため、犯行が中国当局によるものとは、現時点では断定できない。だが、エクイファックスは中国から攻撃を受けたと判断していると、ブルームバーグ通信は伝えている。

【次ページ】信用調査会社ならタダで手に入る個人情報

お勧め記事

個人情報保護・マイナンバー対応 ジャンルのトピックス

個人情報保護・マイナンバー対応 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!