私は長年に渡り何百、いや何千というデータ漏洩通知を見てきた。データ漏洩通知とは、ある企業のデータが紛失や盗難に遭った場合や、データが誰にでもアクセスできる状態でオンライン上に置かれていたことがわかった場合にそれを警告するものである。
データ漏洩通知の文面はどれもおおよそ似通ったものだ。私の役目は、個人情報がリスクに晒されている被害者のために、通知書が実際に伝えている真の内容を読み解くことである。
データ漏洩通知は、いつなにが起きたのか、それによってデータ漏洩を受けた人々にどのような影響が予測されるかを伝えるのが本来の役割だ。今年に入ってから皆さんは既に 2、3 の通知をご覧になったのではないだろうか。というのも、ほとんどの米国の州には、データ漏洩などのセキュリティーインシデントが発生した場合、企業はそれをできるだけ速やかに公表しなければならないという法律があるからだ。欧州の規則はより厳格で、侵害が開示されなかった場合には罰金が課せられるのが普通である。
しかし、データ漏洩通知は危機コミュニケーションにおいて、あまりにあたりさわりのないものになってきている。企業は非難をそらし、重要な詳細を難解にし、また重要な事実を省略する形で通知書を作成している。結局企業の最大の関心事は株式市場を良好に保ち、投資家を満足させ、取締当局に目を付けられないことにある。これらの逆を行くようなことを企業が言いたがるだろうか?
次回データ漏洩通知を受け取ったら、行間を読むようにしていただきたい。回避すべきくだらない文章を把握することによって、本当に問わねばならない事柄はなにかを理解することができる。
「当社はセキュリティおよびプライバシーを重視しています」
本当の意味: 「当社では、はっきり言うとセキュリティーやプライバシーを重視していません」
これはデータ漏洩通知に頻繁に出てくる文言である。この記事に先立ち、昨年TechCrunchはセキュリティーおよびプライバシーを「重視」している企業についての記事を掲載した。当誌は、2019 年にカリフォルニア州司法長官に提出された全通知のうち約3分の1にこの文言と似たりよったりの文章が使用されていることを突き止めた。現実には、ほとんどの企業は個人情報のプライバシーやセキュリティーに大きな関心を払ってはいない。彼らが気にするのはデータが盗まれたという事実を顧客に説明しなければならないということである。これは空虚で使い古された意味のない文章である。
「当社は最近セキュリティインシデントが発生したことを突き止めました…」
本当の意味: 「セキュリティインシデントの発生を突き止めたのは他の誰かです。しかし当社は被害の抑制に努めているところです」
これは無害に聞こえるが、正しく捉える必要のある重要な発言だ。企業がセキュリティインシデントを「最近突き止めました」と述べた場合は、そのインシデントを実際に報告したのは誰かを質すべきである。企業の顧客データベースが含まれたファイルをハッカーが漏えいしたといった事態が発生すると、コメントを求められるのは多くの場合、私のような記者である。慌てた企業は、そのインシデントを突き止めたのは自分たちだというように装おうとする。そのほうが世間に聞こえがいいからだ。
「権限を持たない何者かが…」
本当の意味: 「誰のせいかはわかりません。しかし当社を非難するのはやめてください」
これはデータ漏洩通知の中で最も論争の的となる部分の 1 つであり、つまるところ、誰がセキュリティーインシデントの責任を追うべきなのか、という簡単な問いにたどり着く。法的に言って「不正アクセス」とは、多くの場合何者かが他人のパスワードを用いて、あるいはログイン画面を迂回してシステムに違法に侵入することを指す。しかし企業はしばしばこれを誤解し、あるいはそのインシデントが悪意のあるものかどうかを区別できない、または区別するのを望まないことがある。システムがパスワードによる保護なしにオンラインにさらされたり、放置されていた場合、責められるべきはセキュリティ管理が不十分な企業である。セキュリティーリサーチャーが保護の十分でないシステムを発見し、善意で報告した場合は、彼らを悪意のある人物として描く必要はないのである。企業は責任転換をしたがるものだ。こちらとしては先入観を持たないようにしなければならない。
「当社は直ちに対策を講じました…」
本当の意味: 「当社は直ちに対策を…どのような対策を取ったらいいか分かり次第対策を講じました」
ハッカーは必ずしも捕まるとは限らない。多くの場合、ほとんどのハッカーは企業が侵害に気付くずっと前にその場を立ち去っているものだ。企業が直ちに対策を講じたと言っても、侵害の端緒から企業が対策を講じたとは考えないことだ。Equifax(エクイファックス)は、ハッカーにより1億5000万人近くの消費者のクレジット記録を盗まれたインシデントで、侵入を阻止するために「直ちに対策を講じた」と発表した。しかし、エクイファックスがその疑わしい活動を発見するまでに、ハッカーは既に2か月間もそのシステム内で活動していた。本当に重要なのは、そのセキュリティインシデントが発生したのはいつか、企業がそれを発見したのはいつか、そして企業がその侵害を管轄当局に届けたのはいつか、なのである。
「当社の犯罪調査で明らかになったのは…」
本当の意味: 「当社は、当社がどれだけヤバい状況なのかを教えてくれるようある人物に依頼しました」
インシデントレスポンダーは侵入またはデータ漏洩がどのように起こったかを解明し、企業がサイバー保険から保険金を受け取り、同様の手口による侵害の再発防止をサポートする。しかし、一部の企業は「犯罪調査」という用語を大まかに用いている。内部調査には透明性や説明責任が伴わず、その結果が精査されたり、公表されることはめったにない。インシデントレスポンダーは、調査結果が公表されない場合であっても、企業が聞きたいと思っていることではなく、企業が聞く必要のあることを企業に伝える役目を持った独立した有資格の評価者である。
「念のため、当社よりインシデントの発生を報告いたします」
本当の意味: 「当社はインシデントの発生を報告するよう強制されました」
一瞬でも、その企業がセキュリティーインシデントを開示したからといって「正しい行い」をしていると考えてはいけない。欧米では、企業には選択権が与えられていない。ほとんどの州には、一定以上の住民に影響を及ぼすインシデントについて企業がこれを開示しなければならないとするなんらかのデータ漏洩通知法があり、侵害を開示しない場合巨額の罰金が課せられる可能性がある。(TechCrunchと同様、Verizonが所有する)Yahooの例を挙げると、同社は、5億のユーザーアカウントが漏洩したデータ漏洩の1つを開示しなかったため、2018年に米国連邦規制当局により3500 万ドル(約37億7000万円)の罰金を科された。
「巧妙なサイバーアタック…」
本当の意味:「当社は実際ほど間抜けに見えないよう取り繕っています」
企業が「巧妙な」サイバーアタックの被害に遭ったと言ったからといって、必ずしもそれが本当だったとは限らない。これは誇張であり、セキュリティインシデントを過小に扱って「隠蔽工作」するための発言である。この文言が実際に語っているのは、どのように攻撃が起こったのかその企業には見当がついていないということである。結局のところ、歴史上最大の侵害の一部は、パッチ未適用のシステム、脆弱なパスワード、または誰かが悪意のある電子メールをクリックしたことが原因で発生した。
「データが盗難に遭ったことを示す証拠はありません」
本当の意味: 「当社の知る範囲では」
「証拠はない」という文言は、何事も起こらなかったということを意味するのではなく、なにかが起こっていてもそれがまだ分かっていないということである。その企業は盗難被害について十分厳密に調査をしていないか、把握していないのである。企業がデータの盗難に遭ったことを示す「証拠はない」と言った場合でも、なぜそのような結論に至ったのかを問いただす価値はある。
「影響を受けるのはごく一部のお客様です」
本当の意味: 「『何百万ものユーザー』と言ってしまうと大変聞こえが悪い」
次回データ漏洩通知に、「侵害により影響を受けるのは『ごく一部の』お客様です」と書かれていたら、これが実際何を意味するのかちょっと考えて欲しい。Houzz(ハウズ)は 2019年1月にデータ漏洩に遭ったことを認めたが、その際同社は「当社のユーザーデータの一部」が流失したと述べた。数か月後、ハッカーが5700万ものHouzz(ハウズ)ユーザー記録を投稿した。CBSが所有するLast.fm(ラストエフエム)も2012年に侵害によりパスワードの「一部」が盗まれたと発表したが、後にその数は4300万と判明した。企業が影響を受ける人数を言わないのは、実際に知らないか、知られたくないからなのである。
関連記事:マリオットホテルが再度のデータ漏洩で520万人分の顧客記録を流出
Category:セキュリティ
Tag:データ漏洩 ハッカー
[原文へ]
(翻訳:Dragonfly)