米国で1億4300万人の個人情報が流出した事件に学ぶこと

Webサイトからデータが流出している画像

過去最悪の情報流出事件の1つが米国で発生

米国の個人情報機関の最大手であるEquifaxは2017年9月7日(現地時間)、個人の信用情報を照会するサービスに不正にアクセスされ、約1億4300万人の米国民の個人情報が流出した可能性があると発表しました。米国の人口は2017年7月時点で3億2300万人、1億4300万人は米国民のおよそ半数に相当する大規模なものです。

流出した個人情報の内容は、氏名、住所、生年月日の他、労働や疾病、学業、クレジットなどの記録や身分証明書として使われる社会保障番号や運転免許証番号など重要な情報が含まれており、さらには20万9000人分のクレジットカードの番号や信用情報に異議を申し出た約18万2000人の個人が特定可能な情報も流出した恐れがあるとしています。Equifaxは米国以外の国でも信用情報を提供するサービスを行っていて、被害は米国内だけでなくカナダや英国の住人にも及んで、規模と漏えいした可能性のある情報の内容から言って、過去最悪の情報流出事件の1つとみられています。

私たち情報セキュリティ担当者は、今回の事故を対岸の火事と眺めるだけでなく、自組織に通じるリスクはないか、事後対応について自組織の対応手順に見落としはないか、を見直す機会にしましょう。

Equifax Inc.(エキファックス、エクィファクス)とは、米国の消費者信用情報会社であり、TransUnionとエクスペリアンと並ぶ三大信用情報会社である。その中でもEquifaxは創業最古(1899年)であり、世界で4億人のクレジットスコアを保有している。米国アトランタに本部を置き、ニューヨーク証券取引所に上場している。年間収益は15億米ドルであり、世界14カ国で7000人以上を雇用している。 引用:ウィキペディア

米国の個人情報機関は、日本の信用機関のように、信用取引(ローン審査)などに必要な個人情報の収集や提供の他にも、消費者の財務履歴を調査して個人の格付けを実施しています。Equifaxは格付けをする材料に、ローンやローン返済の状況、クレジットカードの利用に関するデータのほか、貸出限度額や養育費、光熱費や家賃の滞納、職歴といったセンシティブなデータまでも収集しています。Equifaxはこのような重要な個人情報を8億人分も管理していて、世界50カ国以上でその情報を販売する米国の最大手の個人情報を取扱う機関です。

個人情報漏洩の経緯

  1. Equifaxは今年2017年7月29日に不正アクセスに気づき、そのアクセスを遮断した。
  2. この不正アクセスは5月中旬から始まっていたらしい。
  3. Equifaxは9月7日(現地時間)の発表と同時に、個人情報が流出した可能性のある対象者にメールで通知し、自分のデータが流出したかどうか確認できるサイトを開設した。
  4. Equifaxは、無料の個人情報盗難防止サービスとクレジットカード利用監視サービスを、2018年に提供するとした。

つまり米国人約1億4300万人は自分の重要な情報が不正アクセスで流出した可能性のあることを1カ月以上も知らされていなかったことになります。

流出の原因はWebアプリケーションの脆弱性

「犯人は、米国サイトのwebアプリケーションの脆弱性を悪用し、個人情報が記載されたファイルに不正にアクセスした」と、Equifaxは発表しています。

Webサイトは常に攻撃のリスクに晒されています

本来は個人情報など重要な情報は、Webサイトのような外部(インターネット)からアクセス出来る環境に保存すべきではありません。日本の自治体でも現在は住民情報やマイナンバーを取り扱うシステムは完全に外部から切り離されており、たとえ電子メールを受信するために外部と接続されたPCが標的型攻撃メールによりマルウェアに感染しても、外部から住民情報が盗み出されることはありません。

しかし自治体でも把握していないような重大な個人情報を収集している信用情報の照会サービスは、インターネット経由でクレジット会社などが信用情報を閲覧出来るシステムで、どうしても外部から情報を隔離することは出来ず、インターネットに接続されたWebサーバに大量の個人情報を蓄積しています。

これは、通販サイトにログインすると、自分が登録した氏名や住所の他、自分がいつ何を購入したのかという情報まで、いつでもどこからでもインターネットを使って閲覧出来るのと同じ仕組みであり、外部から接続できるWebサーバに個人情報を大量に蓄積してるWebサイトは常に犯罪者から狙われているのです。

そしてこれまでのどんな情報流出事件でも、犯人は捕まることはほとんどなく、犯人よりも、攻撃を防げなかった組織が非難され、組織の信用は失墜し、大きな社会的経済的損失を被ります。

Equifaxが犯したミス

Equifaxから詳細な発表はありませんが、状況や原因はこれまでのWebサイトの情報流出事故と比べて特異なものではありません。つまり当たり前のことをちゃんとやっていれば攻撃を防ぐことは可能であったはずです。もし仮に、あらゆる対策をちゃんとやっていたけど、それでも攻撃されたというなら、Webシステムを利用した個人情報照会サービスはやめるべきです。これまでの情報流出事故も含め、Webサイト上で個人情報を扱う運営元が絶対に怠ってはならないこと、怠ればいつか必ず攻撃を受けて当然と言われることをおさらいしましょう。

ファイルアクセスログの詳細な点検を怠っていた

Equifaxは、重要な個人情報が記載されたファイルに5月から不正アクセスされ続けていたにも関わらず、7月までその事実に気づきませんでした。これは、アクセスログの詳細な点検を日常していなかったことに他なりません。詳細なアクセスログの解析はファイル数が多くアクセス数が多いと多額のコストが必要です。

しかし8億人分もの個人情報を収集し、その情報をWebシステムを使って売って商売しているなら、どんなにコストがかかってもアクセスログの詳細な点検は怠るべきではありませんでした。Webサイト上で個人情報を扱っている、あるいはインターネットに接続されたPCで個人情報を扱っているのに、この作業を怠っている組織や企業はいつか必ずサイバー攻撃を受け、個人情報を流出させ、信用を失います。

詳細なアクセスログの取得と解析は絶対条件です

私は仕事柄Webサイト構築の業務委託契約仕様書をチェックする機会が多いですが、個人情報を扱うWebサイトにも関わらず、仕様書には「アクセスログを取得すること」としか要件定義されていない場合があります。個人情報を扱うWebサイトは、アクセスログの点検は命綱だと認識して、不正アクセスをすぐに覚知するためには、「どのファイルをどのようにいつ点検し、いつ報告させるのか」をしっかりと定義し、しっかりとコストをかける覚悟が必要です。

Webアプリケーションの脆弱性を悪用された

これもWebサイトからの情報流出事故ではいつもいつも登場する原因の一つです。もう聞き飽きたくらい言われ続けているけど、情報流出事故を起こしたWebサイトは必ずと言っていいほど、Webアプリや使っているソフトウェア、CMS、そしてWebサーバのミドルウェアの脆弱性を悪用した攻撃を受けていました。

最近でもCMSであるWordPressやそのプラグインの脆弱性、Apache Struts2 の脆弱性を悪用されたサイバー攻撃事例は多発し、実際に日本でも国の省庁が関わるWebサイトから個人情報が流出する事故が最近でも発生しています。

EquifaxはどんなWebアプリを悪用されたのか公表していないので、一般的に使われるソフトウェアの既知の脆弱性を放置していたのか、あるいは独自開発したWebアプリに脆弱性があったのかは分かりませんが、個人情報にアクセスするためのWebアプリ、あるいはサーバにインストールされているミドルウェアは、当然のように攻撃者が狙っており、脆弱性というスキがあれば必ず侵入されて、ファイルに不正アクセスされてしまうことを忘れてはいけません。

常に最新版にアップデートし高度な脆弱性診断テストも受ける

個人情報を収集、蓄積するWebサイトは、Web上で使っているソフトウェアの開発元からのアップデートを待つだけでなく、現在のシステムには、犯罪者に不正アクセスされてしまうセキュリティホールはないのかをテストし続ける責任があります。システムは安全だと思い込み、攻撃する犯罪者が悪いという姿勢でいれば、必ずや情報を流出させてしまうでしょう。

最後に

特に重要でセンシティブな個人情報を収集し、それをWeb上で販売して収益をあげる企業は、商品を販売した顧客の情報を管理している企業とは比べ物にならない高度なセキュリティが要求されるはずです。

たった1度でも流出してしまった情報は2度と回収されることなく拡散され続けます。Equifaxから流出した1億4000万人の重要な個人情報は、今後延々と犯罪者たちに悪用され続けるでしょう。

たった1度でも個人情報流出事故を起こせば、失墜した信用を取り戻すことは並大抵のことではありません。個人情報を収集し管理するWebサイトの運営者は、今回のEquifaxの事故を教訓に、今一度Webサイトのセキュリティ対策を見直して、本当に自社は考えうる対策を全て講じているのか、それでも起こりえる不正アクセスをすぐに覚知する体勢と仕組みが整っているのかを確認しておきましょう。

今回のEquifaxほど大規模な企業でなくとも、どんな会社にも個人情報をはじめとする重要な情報は必ずあります。今回のようにwebサーバに重要な情報を保管していなくとも、他人事と思わず、データの管理方法について再点検し、考えられえるリスクを洗い出し、もっとも適切な管理方法になっているか、データの取り扱い記録に不備はないか見直しましょう。