米政府機関は依然としてクレジット履歴を認証に利用、Equifaxの1.4億人情報漏えいの教訓生かされず

多数のアメリカ政府機関がユーザー認証に依然としてクレジット情報を利用していることにGAO(米会計監査院)が強い警告を発した。

GAO(Government Accountability Office)は先週の6月14日にEquifax問題の現状分析と勧告を発表し、いくつも米政府機関がクレジット情報企業のEquifax、Experian、TransUnionのデータを本人認証に利用しているとしているとしてこれを中止するよう勧告した。Equifaxは2017年にハッカーに侵入され、被害者が1.4億人以上、史上最悪のデータ漏えい事件の1つとなっている。

米国の郵便公社(Postal Service)、社会保障庁、退役軍人省、CMS(メディケアおよびメディケイド運営センター)は新規ユーザーがサイトを閲覧しようとするとき本人確認のためにいくつかの質問をし、答えを本人のクレジット情報と比較していた。クレジット情報は本人以外知りえないはずだから認証データとして役に立つつという考え方だ。

GAOのレポートは「2017年のEquifaxのデータ漏えい事件でこうした手法は安全でないことが示された」と警告する。

Equifaxに達するハッキングで1億4800万人のクレジットカードデータが盗まれた。こうしたデータの多くの部分がデータ所有者の明示的同意なしに収集されたものだった。後日の調査により、このデータ漏えいは「100%防げた」ことが明らかにされた。Equfaxがもっとも初歩的なセキュリティ対策を怠っていたことが漏えいの原因だった。GAOのレポートはこう述べている。

NIST(米国立標準技術研究所)はデータ漏えい事件直後に「本人認証のためのデータをクレジット履歴と照合することはユーザーデータの漏えいやなりすましを招く危険性がある」としてこうしたクレジット情報の知識ベースを利用した認証はただちに止めるべきだというガイドラインを発表した。

しかし政府機関側は「新しい認証システムの構築には多額の予算が必要であり、一部の地域ではユーザー認証が不可能となる」として反対していた。

復員軍人省だけは新しい認証システムを構築したが、それでも一部のケースではクレジット情報との照合に頼っている。

クレジット履歴を認証に利用することにはもうひとつの問題がある。クレジットカードを持っていなければクレジット履歴も作られない。クレジットカードを持っていなければこうした政府機関のサイトを閲覧できないことになる。つまり合法的に米国のビザを取得としていても多数の外国人労働者が政府機関のサイトから閉め出されることを意味する。2015年の推定だが、米国では2600万人にクレジット履歴がないという。

GAOは「米政府機関がクレジット履歴ベースの本人確認を中止しないかぎり、ユーザーは個人情報窃取の危険性にさらされる」と強く警告している。

画像:Getty Images

原文へ

(翻訳:滑川海彦@Facebook