データ流出のマリオットホテルに英当局が罰金134億円を科す見込み

英国のデータ保護当局は、ホテルチェーン大手のMarriott(マリオット)の顧客3億8300万人のデータ流出で、同社に9900万ポンド(約1億2300万ドル、約134億円)の罰金を科す見込みであることを明らかにした。

マリオットは昨年、同社が買収したStarwoodの予約データベースがハックされ暗号化されていない500万人のパスポート番号や800万のクレジットカード情報が流出したと発表していた。

調査を行なった英国の情報コミッショナーオフィス(ICO)は、「MarriottがStarwoodを買収した時に十分なデューデリジェンスを行わず、システムを確かなものにするための方策を講じるべきだった」と語った。

火曜日の声明の中で罰金の予定額を明らかにしたICOによると、このデータ流出でEUの住民3000万人が影響を受けた。

しかしMarriottは罰金が科される前に「応酬する権利を持っている」と語り、自らの立場を“強く主張する”つもりだ。

「今後争うことになるICOからのインターネット上での通知に我々は落胆している」とMarriottのCEO、Arne Sorenson氏は米国証券取引委員会への提出書類の中で述べている。「Starwoodゲスト予約データベースへの犯罪行為を含む今回の件の調査を通じて、MarriottはICOに協力してきた」。

新しいGDPRでは、ICOは企業の年間売上高の最大4%にあたる罰金を科すことができる。Marriottの2018年の売上高が約36億ドルだったことからするに、ICOの罰金はMarriottのグローバル売上高の3%に相当する。

Marriottには今回の裁定について協議する機会が与えられる、とICOは述べている。

「ICOは最終決定を下す前にMarriottや、懸念している他のデータ保護当局の陳述を慎重に検討する」と英データ保護当局は述べた。

提示された罰金は、データ流出で月曜日にBritish Airwaysに科したばかりの2億3000万ドル(約250億円)という過去最大の罰金に続くものだ。British Airwaysは顧客50万人のクレジットカードが2018年8月から9月にかけて3週間にわたってスキムされたことを認めていた。

研究者らは、Magecartという名で知られているクレジットカードを盗むグループこそが責められるべき、としている。

イメージクレジット: Getty Images

 
[原文へ]

(翻訳:Mizoguchi)

顧客50万人の情報流出でブリティッシュ・エアウェイズに250億円の罰金

英国の情報コミッショナー(ICO)はGDPRの鞭をふるいながら1週間のスタートを切った。今朝、British Airways(ブリティッシュ・エアウェイズ、BA)と親会社インターナショナル・エアラインズ・グループ(IAG)に対し、オンラインで航空券をブラウズしたり予約したりした50万人に影響を及ぼした昨年のデータ流出に対して罰金1億8339万ポンド(2億3000万ドル)を科したと発表した。調査の中で、ICOはログインや支払いカード、旅行予約の詳細、そして名前や住所などの情報を含め、BAのセキュリティの甘さによりさまざまな情報が危険にさらされたことがわかったと述べていた。

罰金(2018年12月31日までの1年間のBAの総売上高の1.5%)は、ICOデータ流出をめぐって企業に科した罰金としては最高額になる(これに比べ、これまでの最高記録保持者のFacebookが昨年科せられた罰金はわずか50万ポンドだ)。

また別の観点からこの罰金は注目に値する。データ流出は組織に対する消費者の信頼が失墜するだけでなく、財政的な影響を伴うことを示している。IAGの株価はロンドンで不安定な動きをみせ、記事執筆時点で1.5%下落している。

投資家向けの声明で、IAGのトップ2人はBAを擁護し、社内調査では情報盗難にリンクするアカウントでの詐欺行為の証拠は認められなかった、と説明した(ご存知だろうが、もちろん流出したデータが必ずしも盗まれたところで使われるわけではない)。

「我々はICOから罰金が科せられたことに驚き、そして失望している」とBAの会長でCEOのCruz British(クルズ・ブリティッシュ)氏は述べた。「BAは顧客の情報を盗むという犯罪行為に素早く対応した。この情報盗難にリンクするアカウントでの詐欺行為の証拠は認められなかった。今回の件で迷惑をかけた顧客にお詫びする」。

IAGのCEOであるWillie Walsh(ウィリー・ワルシュ)氏もまた「BAは科せられた罰金に関してICOに異議を申し立てる。控訴も含め、BAの立場を力強く弁護するあらゆる手段を取るつもりだ」。

こうした種の情報流出に企業がどの程度責任を負わなければならないのかは、今後もっと明らかになってくるだろう。ICOの発表は、社会向けに罰金と調査の詳細を公開するという新たな指導の一環だ。

「人々の個人データというのは、個人のものだ」とICOのElizabeth Denham(エリザベス・デンハム)氏は発表文で述べた。「組織が紛失、ダメージ、盗難を防げなかったとき、これは不便以上のものとなる。だからこそ法律で明確にされている。個人データを任されるときは、きちんとその面倒をみなければならない。面倒をみなかった組織は、基本的なプライバシー権を保護するための適切なステップをとったか私のオフィスから精密な調査を受けることになる」。

ICOは今朝、発表文の中で罰金は今回のデータ流出の前に発効した一般データ保護規則(GDPR)違反に伴うもの、と述べている。より詳細にいうと、今回の件には、ユーザーのトラフィックを詐欺サイトに向かわせ、そこで悪意あるハッカーが顧客の情報を盗むという、BA.com上のマルウェアが含まれた。

BAは事件をICOに9月に知らせたが、データ流出は6月から始まっていたとされている。それ以降、BAは“ICOの調査に協力し、こうしたデータ流出が明るみに出て以来セキュリティ対策を向上させた”とICOは話していた。しかしこのデータ流出はもっと早くに発見されるべきで、同社にはデータ保護を速やかに実行すべき例が他にもある(BAは手痛い思いをしてようやく学んだようだ)。

IAGが今日発表した声明文からするに、BAは罰金と全体的な裁定に不服を申し立てることを選ぶようだ。

英国がEUを脱退した後、今回のような取り締まり対象ケースをめぐって欧州他国といかに連携をとるかについては多くの疑問点があるが、現在のところは欧州他国と足並みをそろえている。

ICOは今回の件では欧州のデータ保護当局の代理として監視をリードしたとする。これは、住民がBAのデータ流出で影響を受けた国の当局は、裁定が完全に決着する前に罰金を科すチャンスがあるかもしれないことを意味する。

[原文へ]

(翻訳:Mizoguchi)

常套句「プライバシーやセキュリティを真剣にとらえている」は耳にタコだ

サイバーセキュリティに関するニュースを扱ってきて思うのは、同じ嘘の1つの言い回しがあるということだ。「我々は、あなたのプライバシーやセキュリティを真剣にとらえている」。

このフレーズをあちこちで耳にしたことがあるだろう。データ流出が明らかになったときの企業の常套句だ。顧客への“不徳の致すところ”的な電子メール、またはあなたのデータには気を配ってると言いながら、次の文では往々にして誤使用や紛失を認めるというウェブサイトでの公表によく見られる。

ほとんどの企業があなたのデータのプライバシーやセキュリティなど気にかけていない、といのが実情だろう。彼らが気にかけているのは、データが盗まれたということを顧客に説明しなければならない、ということだ。

企業が私のプライバシーを尊重すると言うとき、それが何を意味するのか私は正確に理解できない。もしプライバシーを尊重するというのが事実であるなら、あなたに関するデータを広告会社に売るGoogleやFacebookのようなデータに飢えた企業は存在しないはずだ。

私は、このお決まりのフレーズがどれくらい頻繁に使われているか気になった。で、データ流出やセキュリティの不備でカリフォルニア州の法律に基づいて州法務長官に提出された通知届をかき集め、つなぎ合わせ、そしてマシーンで読み取れるテキストに変換した。

全部で285のデータ流失の通知届の約3分の1が、このお決まりフレーズを含んでいた。

このフレーズは、企業があなたのデータを気にかけている、ということを示すものではない。次に何をすべきか理解していないことを示している。

ユーザーのことを気にかけていないという典型例がある。先週、我々はOkCupidユーザーが、彼らのアカウントがハックされたと苦情を申し立てたというニュースを報道した。おそらくアカウントは、ハッカーがユーザーネームやパスワードのリストを入手し、力ずくでのっとるという、疑問を持たれないようなやり方でハックされたのだろう。他の企業は、そのような攻撃から学習し、二段階認証を導入するなどアカウントのセキュリティを向上させるのに時間を費やしてきた。

だがOkCupidの対応は歪んだもので、自らを弁護し、否定するというものだった。ネガティブな話を処理する企業に見られがちな態度だ。それはこのようなものだった。

・歪み:「全てのウェブサイトは常にアカウントのっとりの試みにさらされている」とOkCupidは語った。

・弁護:「語ることはない」と後に他のメディアに語った。

・否定:この件について今後どのような対応をとるのか尋ねられ、「これ以上のコメントはない」と語った。

OkCupidがこの件を重く受け止めているという言葉や、どのような対策をとるのかについて聞ければ良かったのだが。

どの産業も長らくセキュリティを無視してきた。今日のほとんどのデータ流出が、何年間も、時に何十年もお粗末なセキュリティを展開してきて、そのツケが溜まって返ってきた結果だ。今日では、銀行だろうが、おもちゃメーカーだろうが、あるいはたった一つのアプリのデベロッパーだろうが、どの企業もセキュリティ企業でなければならない。

企業は小さなことから始められる。セキュリティに欠陥があるとき、どのようにコンタクトをとるかを人々に知らせる。バグ報告を推奨するためにインセンティブを展開する。正直な研究者に告訴しないと約束して安全を保障する。スタートアップの創業者はまた、最初からセキュリティ担当役員を役員メンバーに加えることができる。そうすることで、問題を起こしていない世界で最もリッチな企業の95%よりもうまくやれるはずだ。

しかし、そうした状況にはなっていない。その代わり、企業はただ罰金を払っているだけだ。

Targetは4100万ものクレジットカードを危機にさらしたデータ流出で罰金1850万ドルを払った。それに比べ、同社の通年の売上は720億ドルだ。Anthemは保険をかけている7900万人のデータを危機にさらし、罰金1億1500万ドルを払った。その年の同社の売上は790億ドルだった。それから、Equifaxを覚えているだろうか。2017年最大のデータ流出は大きな話題となったが、何も措置は取られなかった。

姿勢を変えるのを促すようなインセンティブがないため、企業は今後も意味のないおなじみの言葉を繰り返すのだろう。しかし、企業は何かをすべきなのだ。

原文へ 翻訳:Mizoguchi)

Uberの2016年のデータ流出と隠蔽、英国とオランダが計100万ドル超の制裁金科す

Uberが2016年に顧客5700万人の名前や電子メールアドレス、電話番号などのデータを流出させた件に対する制裁金はさらに100万ドル超上積みされた。

2カ月前、この配車サービス大手は、米国でのデータ流出に関係する法的問題を解決するため50州、加えてワシントンD.C.と和解し、制裁金1億4800万ドルを払うことに合意した。

しかしながら流出には欧州のユーザーのデータも含まれていた。そして昨日、英国のデータ保護当局であるICOは英国の法規制に基づき、38万5000英ポンド(約49万ドル)の制裁金を科すと発表した。

オランダのデータ保護当局もまた昨日、オランダの法に違反したとして60万ユーロ(約67万ドル)の制裁金を科した。

EUの法律適用においては、英国とオランダでのデータ流出はEUの法律が施行される前のことだったとしてUBERは巧みに回避した。

英国の制裁金は最大50万英ポンドだったのに対し、EUの新たな一般データ保護規則(GDPR)では対象企業のグローバル年間総売上高の4%が最高額となる。

GDPR下での比例式の制裁金は大きな額になりやすい。

ICOは、英国拠点のドライバー約8万2000人の記録ー過去の走行の詳細や、いくら支払われたのかといったものを含むーが2016年の10月と11月にあったデータ流出で盗み出されたが、Uberがその事実を公にしたのは1年前だったと指摘した。

一方、オランダの当局は、データ流出は17万4000人のオランダ市民に影響を及ぼしたとした。

GDPRではデータ流出の事実開示を定めていて、情報を扱う機関は、欧州市民の個人情報に影響する流出があった場合、72時間以内に関係する当局にその旨を通知しなければならない。その通知が遅れた場合、罰金が発生する可能性がある。

2016年のUber情報流出の調査で、Uberのデータストレージにアクセスするのに‘認証情報の数打ち’が使われたことが明らかになった、と英国の当局は述べているーその手口とは、ユーザーネームとパスワードのペアを、存在するアカウントとマッチするまでウェブサイトに入力するというものだ。

しかしながら当局はUberの問題のあるインシデント対処も指摘し、Uberのセキュリティが“不十分”だったと非難するだけでなく、“不適切な意思決定”だったと表した。

データ流出をすぐさま明らかにする代わりに、Uberは個人情報を入手したハッカーに10万ドルを支払うことを選び、彼らにデータを破棄するよう依頼した。そして、脆弱性報奨金制度を管理するサードパーティを通じて支払いを迂回させた。

ICOは、ハッカーがデータへのアクセスを不法に手に入れるために脆弱性を利用する方法を探し、悪意をもってハッキングに及んだと指摘しつつ、Uberの隠蔽を“不適切”と表現した。

調査にあたったICOのディレクターSteve Eckersleyは声明の中で「ハッカーに金を払いデータ流出を隠蔽するというのは、我々の考えでは不適切なサイバー攻撃対応だ。当時の規制では、データ流出を報告する法的義務はなかったが、Uberのお粗末なデータ保護プラクティスとデータ流出にかかる意思決定、そしてその後の行いが、事態をいっそう悪化させた」とコメントした。

さらに「これはUber側のデータセキュリティに深刻な欠陥があっただけでなく、個人情報が盗まれた顧客とドライバーの完全な軽視だった。当時、データ流出で影響を被った人に対し、その事実を知らせたりヘルプやサポートを提供する措置は取られなかった。そのために個人情報が盗まれた人は攻撃されやすい状態に置かれた」と加えた。

ICOはまた、制裁金を科すその理由の詳細がつづられた決定文書の全文で、制裁金の意図はこうした種類の“さらなる違反を阻止することだ”と記している。

オランダの当局もすぐさまデータ流出を明らかにしなかったことを制裁金の根拠に挙げている。

我々がUberにコメントを求めたところ、広報から以下の文が電子メールで送られてきた。

2016年から続いてきたデータ事件の章を閉じることができるのは喜ばしい。調査中、我々は欧州の当局と情報を共有し、インシデントが起こって以来、我々はシステムのセキュリティにおいて多くの技術的改善を図ってきた。規制当局と顧客に適切な透明性をさらに確保できるよう、管理体制にも大きな変更を加えた。今年初め、我々は初となるプライバシー責任者、データ保護責任者、新たな信頼とセキュリティ責任者を置いた。我々は過ちから学び、ユーザーの信頼を得るために日々取り組んでいく。

隠蔽は“不適切”としたICOの記述についてのコメントも求めたが、Uberは言及しなかった。

[原文へ]

(翻訳:Mizoguchi)

Facebookはユーザーの安全を確保できない

ユーザーの個人情報保護に失敗したFacebookから、またもやの発表だ。あなたは今回、コーディングエラーにより1年以上アカウント情報が漏洩されていた5000万人のうちの1人だろうか(Facebookの情報を小出しにしていくこれまでのスタイルを考慮すると、情報流出のアカウントの数が増えることは大いにあり得る)。もし対象でなかったのなら、心配しなくてもいいーいずれFacebookが守り損ねてあなたの順番は回ってくる。Facebookはユーザーの安全を守ることはできない。

Facebookは、ユーザーの安全とプライバシーよりもプロダクトアジェンダを優先してきたことを繰り返し証明してきた。仮にそうした証明をしていなかったとしても、Facebookの性質とスケールでは極めて個人的な情報をさらす大規模なデータ流出を回避するのはほぼ不可能に近い。

一つには、Facebookはあまりにも巨大になりすぎて、隅から隅まで完全に安全を確保することは無理なのだ。それが証明されたのが今回のデータ流出であり、ハッカーはFacebookが展開していた機能により何百万ものユーザーアカウントにログインできるようになっていた。1年以上にもわってその状態が続いていた。

正確には、今回の漏洩は最悪のケースのシナリオではないが、それに近い。Facebookにとっては、これ以上にアカウントがおかしなことになるということはないだろうーハッカーのアクティビティが通常のユーザーアクティビティそのままに映っていたかもしれないのだ。存在するログインを使ってのハッキングなので、ユーザーは二段階認証で通知されない。アプリをインストールする? セキュリティ設定を変更する? あなたの個人データをエクスポートする? 全てのことがハッカーにはできる。しかもかなり上手に。

これは、Facebookがあまりにも巨大かつ複雑で、たとえ世界で最も優秀なソフトエンジニアでもってしても、実際そうしたエンジニアが働いているのだが、今回問題となったバグのような予期できない結果を回避できるほどデザインしたりコードを書いたりはできないためだ。

少しステップを飛ばした説明のように聞こえるが、単に“テックは難しい”と言おうとしているのではない。現実的に言って、Facebookはあまりにも動いているパーツを抱えすぎていて、人が全く誤りなくそれらを動かすというのは無理なのだ。これまで漏洩が少なかったというのはFacebookの専門家にとっては勲章だ。Cambridge Analyticaのような大きなものは、コード絡みではなく判断ミスだ。

欠陥は不可避であるばかりでなく、ハッキングコミュニティをかなり刺激するものでもある。Facebookはこれまでのところ史上最大、そして最も価値のある個人データのコレクションを持つ。これにより、ターゲットとなるのは自然なことで、いいカモというわけではないが、ハッカーは時間のあるときにスクリプトに脆弱なところを見つけ出そうとしている。

Facebookが言うには、先週金曜日に見つかったバグはシンプルなものではなかった。ピースをつなぎ合わせ、脆弱さを生み出すという行為はコーディネートされ、また洗練されたプロセスだ。これを行なった人は専門家で、今回の作業で大きな報酬を受け取っているだろう。

欠陥の結果はまた大きなものだった。全ての卵は同じバスケットに入っている。今回のようなたった一つの問題が、プラットフォームにあなたが入力した全てのデータを、そしてもしかすると友人があなただけに見せた全てのこともさらしてしまうことができる。それだけでなく、ごく小さなエラーでも、コードにおけるマイナーエラーの極めて特異な組み合わせにより、膨大な数の人に影響を及ぼすことがある。

もちろん、ソーシャルエンジニアリングを少ししか行なっていないような、あるいは設計がいまひとつのウェブサイトでも、誰かがあなたのログインやパスワードを使ってアクセスするということはあり得る。これは正確にはFacebookのエラーとはならないのかもしれない。しかしFacebookがデザインした方法ー全ての個人情報を倉庫に集中させるーにより、マイナーなエラーがプライバシーの完全喪失につながることがあるかもしれないというのは紛れなもない事実だ。

他のソーシャルプラットフォームはもっとうまくできるかもしれない、と言っているわけではない。Facebookはあなたの安全を確保する方策を持ち合わせていない、ということが今回また明らかになったと言いたいのだ。

もしあなたのデータが盗まれていないのなら、Facebookはいずれそのデータをうっかり漏らすことになるだろう。なぜならそのデータはFacebookが持つ唯一価値あるもので、それは誰かがお金を払ってでも欲しいと思うものだからだ。

最もデータがさらされたものとしては、Cambridge Analyticaのスキャンダルがある。これは、ゆるいアクセスコントロールで膨大な量のデータセットを誤用するという、おそらく何百も行われているオペレーションの一つだ。データを安全に管理するのがFacebookの業務だが、彼らはデータが欲しいという誰かにあげてしまった。

ここでは、たった一つの欠陥がデータの暴露につながったということだけでなく、欠陥は二つめ、三つめと次から次に出てくるだろうということも注目するに値する。あなたがオンラインに打ち込んだ個人情報は、マジックのように簡単に取り戻すことはできない。たとえば、あなたのクレジットカードスキミングされて複製されれば、悪用のリスクは現実のものとなるが、新しいカードにすれば悪用を止められる。個人情報についても、ひとたび盗まれれば、それまで。あなたのプライバシーは不可逆的なダメージを受ける。Facebookにはそれをどうすることもできない。

いや、それは正確ではないかもしれない。たとえば、3カ月より以前の全てのデータをサンドボックス化して、アクセスするには認証が必要、というふうにすることもできる。これだと、情報漏洩のダメージをある程度抑えられる。またこの手法ではサンドボックスに入ったデータへの広告プロフィールのアクセスを制限することにもなる。なので、何年にもわたるデータの分析に基づいて、あなたのシャドープロフィールのようなものをを構築するということにはならない。これはまた、あなたが書いたもの全てを読まず、その代わり広告のカテゴリーをあなたが自分でレポートすることにもなる。これにより、多くのプライバシー問題が解決するかもしれない。しかし、そうはならないかもしれない。これだと、収入にならないから。

Facebookが守れないもう一つのことは、Facebook上のコンテンツだ。スパム、ボット、ヘイト、エコーチェンバーこれら全てがFacebook上でみられる。2万人を擁する強力なモデレーションチームが内容をチェックする作業にあたっているが、明らかに十分ではない。もちろん、世界の文化や法律などは複雑で、この点に関しては常に争いや不幸が伴う。できることといえば、公開されたりストリームされたりした後で不適切な部分を削除することくらいだ。

繰り返しになるが、プラットフォームを悪用しようとする人がいるというのは、正確にはFacebookの過失ではない。究極的にはそうした輩が悪いのだ。しかしFacebookはそうした輩からあなたを守ることができない。新たにつくられる危害のカテゴリーを予防することはできないのだ。

これについて、あなたに何ができるだろうか。何もできない。もうあなたの手に負えない。たとえあなたが今すぐFacebookをやめたとしても、あなたの個人情報はすでにリークされているかもしれず、そうだとしたらオンラン以上で増殖するのを止めることはできない。もしまだリークされていなかったとしたら、それは時間の問題となる。あなたにも、そしてFacebookもどうすることもできない。我々が、そしてFacebookもこの事実を新たな常態として受け入れれば、我々はセキュリティとプライバシーのための真の方策の模索に踏み出せる。

イメージクレジット: Getty Images

[原文へ]

(翻訳:Mizoguchi)