Equifax情報流出で米司法省が中国軍ハッカー4人を起訴

2017年のEquifax(エクイファックス)サイバー攻撃をめぐり、米司法省は中国軍ハッカー4人を起訴した。サイバー攻撃では1億4700万件超の信用情報が流出した。

9つの罪を記した起訴状はWu Zhiyong、Wang Qian、Xu KeそしてLiu Leiの4人に対するものだ。4人は中国人民解放軍に所属している、と司法省は話している。ハッカーらは、中国政府が後ろ盾となっている悪名高いハッキンググループAPT10のメンバーとされている。このグループは以前にもHPE、IBM、NASAのジェット推進研究所など何十もの米国の主要企業や政府のシステムにハッキングして非難された。William Barr(ウィリアム・バー)司法長官は、Equifaxの件は中国によるいくつものサイバー攻撃の最新事案だと語った。これまであったサイバー攻撃には健康保険大手のAnthem(アンセム)をターゲットにしたものや、Marriott Starwood(マリオット・スターウッド)ホテルの情報流出米国人事管理局へのハッキングなどが含まれる。

「(Equifaxへのサイバー攻撃は)国が支援するハッカーが個人を特定できる重要な情報を盗んだものとして、これまでで最大の窃盗事案だ」とFBIのDavid Bowdich(デイビット・ボウディック)副所長はワシントンD.C.で行われた記者会見で述べた。

「本日、(中国軍の)ハッカーを刑事起訴する。我々が匿名というインターネットの覆いを取り除き、中国が我々に繰り返し仕向けてきたハッカーを見つけることができることを中国政府に思い出させる」とバー司法長官は言う。

2017年にEquifaxにハッキングしたとして起訴された中国軍ハッカー4人(Image: Justice Dept./handout)

Equifaxは、ハッカーたちが自社システムに侵入したことを認識してから数カ月後の2017年9月に情報流出を公表した。

その後の調べで、EquifaxはWebサーバーが攻撃されやすいと数週間もの間認識しておきながらパッチを適用しなかったことが明らかになった。これにより、ハッカーたちはサーバーをクラッシュさせ、膨大な量の個人情報を盗むことができた。名前、住所、社会保障番号そして何百万もの運転免許証やクレジットカードの情報が盗まれた。この情報流出は英国人とカナダ人にも影響を及ぼした。

当時のEquifaxのCEO、Richard Smith(リチャード・スミス)氏は情報流出後に辞任したが、批判から逃れられなかった。上院議員のChuck Schumer(チャック・シューマー)氏は、情報流出とEquifaxの対応を「Enron(エンロン)事件以来、企業による最もひどい不正行為だ」と話した。

Equifaxはのちに、少なくとも5億7500万ドル(約630億円)の罰金を払うことで連邦取引委員会と和解した。

Equifaxの現CEOであるMark Begor(マーク・ベガー)氏は、この起訴を可能にしたFBIと司法省の働きに「感謝する」と述べた。

在ニューヨークの中国領事館の広報は、コメント要求に応じなかった。

画像クレジット: Smith Collection / Getty Images

[原文へ]

(翻訳:Mizoguchi

米政府機関は依然としてクレジット履歴を認証に利用、Equifaxの1.4億人情報漏えいの教訓生かされず

多数のアメリカ政府機関がユーザー認証に依然としてクレジット情報を利用していることにGAO(米会計監査院)が強い警告を発した。

GAO(Government Accountability Office)は先週の6月14日にEquifax問題の現状分析と勧告を発表し、いくつも米政府機関がクレジット情報企業のEquifax、Experian、TransUnionのデータを本人認証に利用しているとしているとしてこれを中止するよう勧告した。Equifaxは2017年にハッカーに侵入され、被害者が1.4億人以上、史上最悪のデータ漏えい事件の1つとなっている。

米国の郵便公社(Postal Service)、社会保障庁、退役軍人省、CMS(メディケアおよびメディケイド運営センター)は新規ユーザーがサイトを閲覧しようとするとき本人確認のためにいくつかの質問をし、答えを本人のクレジット情報と比較していた。クレジット情報は本人以外知りえないはずだから認証データとして役に立つつという考え方だ。

GAOのレポートは「2017年のEquifaxのデータ漏えい事件でこうした手法は安全でないことが示された」と警告する。

Equifaxに達するハッキングで1億4800万人のクレジットカードデータが盗まれた。こうしたデータの多くの部分がデータ所有者の明示的同意なしに収集されたものだった。後日の調査により、このデータ漏えいは「100%防げた」ことが明らかにされた。Equfaxがもっとも初歩的なセキュリティ対策を怠っていたことが漏えいの原因だった。GAOのレポートはこう述べている。

NIST(米国立標準技術研究所)はデータ漏えい事件直後に「本人認証のためのデータをクレジット履歴と照合することはユーザーデータの漏えいやなりすましを招く危険性がある」としてこうしたクレジット情報の知識ベースを利用した認証はただちに止めるべきだというガイドラインを発表した。

しかし政府機関側は「新しい認証システムの構築には多額の予算が必要であり、一部の地域ではユーザー認証が不可能となる」として反対していた。

復員軍人省だけは新しい認証システムを構築したが、それでも一部のケースではクレジット情報との照合に頼っている。

クレジット履歴を認証に利用することにはもうひとつの問題がある。クレジットカードを持っていなければクレジット履歴も作られない。クレジットカードを持っていなければこうした政府機関のサイトを閲覧できないことになる。つまり合法的に米国のビザを取得としていても多数の外国人労働者が政府機関のサイトから閉め出されることを意味する。2015年の推定だが、米国では2600万人にクレジット履歴がないという。

GAOは「米政府機関がクレジット履歴ベースの本人確認を中止しないかぎり、ユーザーは個人情報窃取の危険性にさらされる」と強く警告している。

画像:Getty Images

原文へ

(翻訳:滑川海彦@Facebook

渦中のEquifax、セキュリティー担当および情報担当幹部が辞任

Equifaxの上級幹部2名が辞任したとWSJが報じた。Susan Mauldinは同社の最高セキュリティー責任者(CSO)、David Webbは最高情報責任者(CIO)だった。記事は両幹部が辞任すると伝えているが、 最近の大規模セキュリティー侵害を踏まえると「辞任」は「解雇」の婉曲表現ともとれる。

本誌はEquifaxに追加情報を要求している。

同社によると、この人事異動は即時発効され、Mark RohrwasserがWebbの後CIOを引き継ぎ、Russ Ayresが暫定CSOになる。RohrwasserはこれまでEquifaxの国際IT運用の責任者を務めており、AyresはIT担当VPだった。

先週Equifaxは7月29日にシステム侵入があり米国ユーザー1億4300万人のデータが流出したことを公表した。流出データには、社会保障番号、生年月日、住所、一部では運転免許証も含まれている。さらには20万9000人のクレジットカード情報や、18万2000人の個人を特定できる情報を含む紛争書類も盗まれた。

事故公表後の会社の対応は不誠実で無神経だと激しく非難された。消費者を支援するために設置されたウェブサイトは 使い物にならないばかりか、詐欺的とさえ言われた。電話対応も同じ状況で、議会もこの問題を取り上げた。

[原文へ]

(翻訳:Nob Takahashi / facebook

ハッキングされたEquifax、株価がまた8%ダウン

信用調査最大手のEquifaxは、1億4300万人分のアカウント情報がハックされたと9月7日に発表した。それ以来株価は急降下し投資家はさらに下落すると予想している。

同社株は金曜日(米国時間9/8)に14%下落し、月曜日(同9/11)にも8%下げ、時価総額にして数十億ドルが消えた。月曜日の終値は113.12ドルだった。

これは史上最も影響の大きいサイバー攻撃と考えられる。米国人の半数近くの個人情報が流出したのだから。漏洩したデータには社会保障番号、信用度スコアなどが含まれ、銀行口座の詳細データを盗まれた例もあった。

さらに、Equifaxの幹部らはハッキングの事実を知りながら持ち株を売ったという疑惑をもたれて非難を浴びている。Equifaxは、問題の幹部は株を売った時点でハッキングを知らなかったと説明した。疑惑をもたれている幹部の一人が同社のCFOであることを考えると、なんとも驚きだ。

金曜日に配信されたTechCrunchの“Equity” ポッドキャストで詳しく取り上げている。

[原文へ]

(翻訳:Nob Takahashi / facebook

Equifaxの役員、データ漏洩ニュース公開前に株を売却

本日版「企業人の自由奔放な強欲」の話題はこちら。データ漏洩事件を起こしたEquifaxの幹部らは、この大問題を知った後、180万ドル近くの同社株を売っていたらしい。

Bloombergによると、同社の上級役員3名は、約180万ドル相当の株式を、データ漏洩の内部情報を得た後に売りさばいた。漏洩データには、社会保障番号や運転免許証番号などを含む最大1億4300万人の個人情報が含まれていた。

問題の取引を行ったのは、CFO兼VPのJohn Gamble(94万6374ドル相当の株式を売却)、米国情報ソリューション担当プレジデント、Joseph Loughran(同58万4099ドル)、および人事担当役員、Rodolfo Ploder(同25万0458ドル)の3人。Bloombergによると、これらの取引は事前に設定されていたものではなく、8月2日、すなわち同社が漏洩に気づいた3日後に実行された。

この大規模な個人情報流出のニュースが報道されたのはつい最近だが、ハッキングが起きたのは5月中旬から7月にかけてのことだった。木曜日(米国時間9/7)同社は以下のように説明した:

アクセスされた情報に含まれていたのは主として、氏名、社会保障番号、生年月日、住所で、一部には運転免許証番号も入っている。さらに、米国の消費者約20万9000人のクレジットカード番号、および18万2000人の個人を特定できる情報を含む調査書類もアクセスされた。

Equifaxは、ハッキングを受けた可能性のあるユーザー向けに専用ウェブサイトを立ち上げたが、だまされたばかりのユーザーに対して、社会保障番号をEquifaxに渡すよう求めていることに加え、本稿執筆時点でシステムは機能していない

アップデート:Equifaxは株式売却のタイミングに関するTechCrunchの質問に対して以下の声明を送ってきた。

プレスリリースで発表した通り、Equifaxは7月29日にこのサイバーセキュリティ―事象を知り、直ちに侵入を阻止した。

8月1日および2日に少量のEquifax株式を売却した当社役員3名は、売却の時点で侵入の事実を認識していなかった。

[原文へ]

(翻訳:Nob Takahashi / facebook

米信用情報サービスEquifaxのデータ漏洩、被害者は最大1.43億人に

今やデータ漏洩は日常茶飯事で、感覚が麻痺してしまいがちだが、今日(米国時間9/7)消費者信用情報サービスのEquifaxが発表した事態はただごとではない。最大1億4300万人のデータが漏洩したおそれがある。これはまずい。

悪党どもにとってこの種のデータは情報の宝の山であり、そこには社会保障番号、誕生日、住所、さらには運転免許証番号が入っているものもある。これだけでは不足だと言うのか、20万9000人のクレジットカード情報と18万2000人の消費者を特定できる情報を含む証拠書類も流出した。

流出情報の出所は主に米国在住者だが、英国およびカナダの住民も関わっており、同社はそれぞれの当局と協力して調査を進めている。

Equifaxの報告によると、漏洩に気づいたのは7月29日で、すぐに侵入を防ぐ措置を行った。その後サイバーセキュリティ会社に依頼して漏洩範囲と被害状況を確認した。警察も介入していると同社は伝えているが、犯人がどうやってシステムに侵入し何を奪ったのか、現時点では明らかになっていない

同社は専用ウェブサイト、www.equifaxsecurity2017.comを立ち上げ、消費者が漏洩の有無や範囲を調べられるようにしている。こうした事件の後にはよくあることだが、Equifaxは信用情報モニタリングや個人情報盗難保護などのサービスを無料提供しているので、影響を受けた人は利用するのもよいだろう。

これは純粋な数値でいえば、史上最悪の事件ではない。その汚名は今やOath(TechCrunchの親会社Verizonに買収された)傘下となったYahooに帰する。昨年同社は 10億人以上のユーザーを巻き込む漏洩事件を起こした。

しかし、今回の事件が特に厄介なのは、Equifaxが信用情報サービスであり、消費者の生活、クレジットカード、信用度などの履歴を追跡していることだ ―― そしてこの個人情報の金鉱がブラックマーケットに渡る恐れがある。

[原文へ]

(翻訳:Nob Takahashi / facebook