お客様のビジネスシステムを支える様々なソフトウェアをワンストップでご提供

SCTブログ blog

大規模情報漏洩事件の教訓

昨年、米国の大手信用情報会社エキファクス社からの大規模な情報漏洩のニュースを当ブログでお知らせしました。
信用情報会社からの大規模情報漏洩

1億4千万件に及ぶ情報漏洩事件が明るみに出てから4ヵ月後の今月、セキュリティベンダーSSL Storeのブログが事件を振り返った記事を公開しています。
Equifax Data Breach - What Did We Learn from it?

記事では先ず、ベントレー大学のSteven Weismanのコメントを紹介しています。「攻撃はウェブアプリケーション用ソフトウェアApache Strutsの脆弱性を衝いて行われています。この脆弱性は3月に公開されていましたが、攻撃自体は5月に初めてされています。セキュリティ関連のアップデートがあれば、できる限り早く導入する必要があります。エキファクスの件のアップデートの遅れは言い訳ができないものです」

しかしながら、マーケティング関連の分野をカバーするウェブメディアSword and the ScriptのFrank Strongに言わせれば、物事はそう単純ではありません。
「大規模かつ複雑な本番システムにセキュリティパッチをあてるのは、事前のテストが必要な場合がほとんどでしょう。パッチをあてることで他に影響がないか調査する期間があり、脆弱性が公表されてから実際に修正がインストールされるまでにタイムラグが生まれ、その隙を狙って攻撃者同士の競争すら起きます」

CSO OnlineのDruce MacFarlaneによれば「補完的なツールを用いた多層的な対策で、セキュリティを強化することができます。企業は脆弱性をすぐに修正するか、問題の箇所を積極的にモニターすべきです。理想的には両方を行うのが良いでしょう。脆弱性を放置すればするほど、情報漏洩の危険は高まります」

データセキュリティを専門とするData443 Risk Mitigation社代表Jason Remillardは保存されたデータに着目します。
「誰を責めるにせよ、保存されたデータは暗号化の必要があります。データ暗号化のための技術はいくつかありますが、どれもアプリケーションの改修が必要になります。何らかのファクターがデータの暗号化を妨げていたはずです。暗号化しないデータを移動させることはできないようにする必要があります。GDPR(EU一般データ保護規則)のような新しい規則が参考になるでしょう」

GDPR(General Data Protection Regulation)は欧州連合(EU)における個人情報の処理と移転に関するルール、罰金を含む違反時の罰則等を定めた規則です。2016年4月に制定され、2018年5月から適用される予定です。もし情報漏洩が起こった時にGDPRが施行されていたならば、エキファクス社は多額の罰金を免れなかったでしょう。

記事最後に、1億4千万件以上のデータが流出した事件とは別に、同社のアルゼンチン向けのサイトからも情報流出があったこと、またその原因がサイト管理者のIDとパスワードが"Admin"だったことに触れています。