2017年(9月末時点)の大規模データ漏洩事件トップ5

今年の1月〜9月末時点までで、特に規模が大きかった漏洩事件を5つ紹介します。ほとんどは、定期的にITインフラを監査していれば防げたはずの事件でした。

個人情報の漏洩事件は日常的に発生しています。ニュースで取り上げられる事件もありますが、世間に知られないまま終わるものもあります。米国だけでも今年に入ってから1億6,300万ユーザーの記録が漏洩しています(Identity Theft Resource Centerのデータによる)。この数字は、昨年の全漏洩件数の4倍にあたります。

今年はまだ終わっていませんが、2017年になってから(正確には最初の3四半期に)起こった5大情報漏洩事件を取り上げたいと思います。公平を期すために申し上げると、30億件のアカウントが漏洩したYahoo!がトップに来るべきですが、漏洩自体は2013年に発生したものであること、漏洩規模の最新情報が報じられたのは第4四半期の10月と最近であること、さらにはすでによく知られた事件のアップデートだったことから、今回は対象外としました。

  1. Avanti Markets — 160万アカウント

Avanti Marketsは、法人の食堂向けスナック販売ソリューション(自動販売機)を提供する企業です。今年7月、Avanti Marketsは一部の決済端末にマルウェアが発見されたと発表しました。クレジットカード番号、有効期限、CVVの傍受に特化したかなり複雑なマルウェアを、攻撃者は何らかの方法で感染させることに成功したのです。具体的な感染の手口は分かっていません。利用者の生体データにまでアクセスしているケースもありました。一部の端末は指紋センサーを搭載していたからです。ただ、端末の設定がそれぞれ異なっていたため、攻撃者にネットワーク全体をハッキングされる事態は免れました。もっとも、同じ理由で同社は損害を正確に推定できず、少なくとも160万アカウントが被害に遭ったとしています。

  1. Election Systems & Software — 180万アカウント

今年8月、ITセキュリティのエキスパートがオープン状態のAmazon Web Services(AWS)クラウドコンテナを発見しました。中にあったのは、Election Systems & Software(ES&S)のバックアップデータでした。同社は投票マシンや投票管理システムの製造業者です。データには、米国イリノイ州居住者の名前、住所、生年月日、支持政党など、約200万アカウントの情報が含まれていました。AWSのレポジトリは認証がなければアクセスできないように初期設定されていますが、このデバイスは何らかの理由で誤設定されており、誰でもアクセスできる状態になっていました。エキスパートが発見する前に誰かアクセスしていたかどうかは不明ですが、180万人の個人情報が誰でもアクセスできたという点で漏洩の定義に十分合致すると考えてよいでしょう。

  1. Dow Jones & Company — 220万アカウント

Dow JonesのインシデントはAWSレポジトリのアーカイブデータが漏洩した事件によく似ています。ここでの問題も設定にあるのですが、今回のケースではデータが世界中に公開されたのではなく、AWSのユーザーから見える状態にありました。漏洩したのは、Wall Street JournalやBarron’sなど、世界中の大手金融情報出版社が発行する新聞や雑誌の数百万の購読者に関する個人情報や金融データです。クラウドコンテナの設定が修正される前にサイバー犯罪者がデータにアクセスしていたかどうかは不明です。

  1. America’s Job Link Alliance — 550万アカウント

大手オンライン求人情報検索エンジンでWebアプリケーションソフトウェアに脆弱性があったことから、米国10州に居住する利用者の名前、生年月日、社会保障番号が、正体不明のハッカーに取得される事件がありました。今年2月、ハッカーはシステムにアカウントを作成し、脆弱性を利用して550万以上のアカウントにアクセスしました。侵入が発見されたのはそれから2週間後のことで、脆弱性はすぐに修正されました。America’s Job Link Allianceは公式プレスリリースで、この脆弱性は2016年10月に実施したアプリケーションのアップデートで「設定を間違えた」ためであると述べています。

  1. Equifax — 14,550万アカウント

そして、いよいよ目玉のEquifax侵入事件です。同社の関係者は今年9月、顧客の名前、社会保障番号、生年月日、住所が格納されたデータベースにハッカーがアクセスしていたことを明らかにしました。漏洩が起きていた期間は、5月中旬から7月末までの1か月以上にわたります。ハッカーはデータへアクセスするためにApache Struts 2フレームワークの脆弱性を利用しました。Equifaxの最初の調査では1億4,300万ユーザーに影響が出たとされていましたが、その後1億4,550万ユーザーに修正されました。攻撃者は顧客情報のほか、209,000枚以上のクレジットカード番号に加えて182,000人の個人データを含む文書にアクセスしていました。漏洩の原因となった脆弱性は3月に(Apache Struts開発元の)Oracleが修正していたのですが、それから2か月経っても、米国有数の信用調査会社Equifaxはアップデートを適用していませんでした。

以上の事件から得られた教訓をまとめましょう。少なくとも4件は漏洩を完全に防ぐことが可能でした(1件目はいまだ原因不明)。Election Systems & SoftwareとDow Jones & Companyの件については、ソフトウェアの設定の不備で情報が保護されないままになっていました。America’s Job Link Allianceの場合は、Webアプリケーションの既知の脆弱性が原因でした。また、Equifaxの件は脆弱性ではなく、むしろずさんなアップデート体制に問題がありました。すぐにパッチを適用していれば、セキュリティ侵害が発生するずっと前に脆弱性を修正できていたはずです。要するに、これらの漏洩事件はITインフラを適宜監査していれば防げたはずでした。企業の規模を問わず、定期的な監査は必須です。

ヒント