- 2017/10/02
- サイバー攻撃
どうして エクイファックス 社のハッキングは大事件になったのか?
Post by : ELIAD KIMHY
2017年9月、米国三大信用情報会社の1つであるエクイファックス(Equifax)社がハッキングされました。被害は甚大で、1億4300万人分を超える個人情報が流出し、それらの情報が既にブラックマーケットで売られています。大企業がハッキングされたり、一般人の個人情報が流出したりと、毎日のようにサイバー攻撃のニュースが報道されていますが、今回のハッキングは、米国の社会保障システムの脆弱性が狙われ、広大な範囲に被害が及んだ点など、非常に危険な事件であると言えます。
米国人のIDは、政府による中央IDシステムでは管理されていません。政府が発行するパスポートを除き、個人のIDが保護されることはほとんどありません。社会保障カードは本人の顔写真に直接紐付けされておらず、また、事実上の米国人のIDカードである運転免許証は州レベルで発行されていて、ハッカー達の手にかかれば簡単に偽造できてしまいます。
エクイファックス(Equifax)社のハッキングで、多くの人々が「なりすまし犯罪」に遭う危険性が高まっています。犯罪者は自分が入手した人物の社会保障番号と生年月日を使うことで、その当人になりすますことが簡単にできてしまうためです。
現時点で、自分の機密情報を保護しようとする人ができる唯一の方法は、クレジットカードを凍結することです。しかしこれは大変手間がかかる上、スーパーでの食品購入でさえもクレジットカードの支払いが一般的な米国では人々の生活に多くの支障が生じてしまいます。
サイバーリーズンのインテリジェンスアナリストであるRoss Rosticiによれば、将来同様のハッキング被害を防ぐためには、企業はデータをいくつかに分割して複数の場所に保存することが必要であり、たとえ1つのサーバー/クラスタが侵入されても、それ以外のサーバー/クラスタへの侵入を防ぐことが求められています。
また、データはすべて暗号化し、ハッカーがデータストレージに侵入した場合でも実害を防ぐ対策を講じること。個人データにアクセスするユーザーにはすべて、2要素認証を利用すること、そして認証の際にはスマートフォンではなくキーデバイスを使用することを推薦しています。(残念ながら、既に多くの電話番号がハッカーにより乗っ取られてしまっています。)
この甚大な情報漏洩の原因は、今年3月にStrutsプロジェクトにより発見されたオープンソースのApache Strutsフレームワーク内にある脆弱性であると考えられています。この脆弱性はCVE-2017-5638として特定されており、多くの企業でセキュリティ対策のパッチがインストールされました。しかし、ハッカー達は、パッチが当てられる前にエクイファックス(Equifax)社に侵入、潜伏していた模様です。カナダ歳入庁(Canada Revenue Agency)もこの脆弱性CVE-2017-5638の被害者に遭っています。
ホワイトペーパー「すべての組織が狙われている」
企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/white-paper/606/