ソフトウェアにパッチを適用します。ネットワークをセグメント化します。 侵入者を監視します。 技術専門家によれば、これらはあらゆる規模の企業にとってセキュリティの基本です。しかし、業界大手の Equifax は、2 億人以上のアメリカ人に関する膨大な量の極秘情報を保有している企業であるため、これらの基本的な保護を実装しないことはほとんど考えられません。 FTC、CFPB、州AGとの和解金は少なくとも5億7,500万ドル は、企業が機密データに対する合理的に予見可能な (および予防可能な) 脅威を無視した場合に消費者が受ける損害を示しています。ビジネス向けのセキュリティに関するヒントと、消費者が損失の補償を受けて無料の信用モニタリングにサインアップするためにできることについてお読みください。
Equifax のデータ侵害が大きく報道されましたが、舞台裏で何が起こったのでしょうか?によると、 苦情、2017 年 3 月、US-CERT (国土安全保障省のサイバー専門家) は、Java Web アプリケーションの構築に使用されるオープンソース ソフトウェアの重大なセキュリティ脆弱性について Equifax およびその他の企業に警告しました。この警告は、ソフトウェアの脆弱なバージョンを使用している人に対し、パッチを適用した無料バージョンに直ちに更新するよう警告しました。ハッカーがすでにこの脆弱性を悪用し始めているとマスコミが報じるまでに、それほど時間はかかりませんでした。
Equifax のセキュリティ チームは、2017 年 3 月 9 日に US-CERT アラートを受け取り、400 人以上の従業員にアラートを送信し、会社のパッチ管理ポリシーの要求に従って、影響を受けるソフトウェアを担当するスタッフは 48 時間以内にパッチを適用するように指示しました。 Equifax は 1 週間以内に、ネットワーク上に残っている脆弱な形式のソフトウェアを検索することを目的としたスキャンを実行しました。しかし、Equifaxが実施したスキャンはその目的を達成できず、最終的に消費者にとって壊滅的な結果となった。訴状によると、同社は不適切に設定された自動スキャナを使用していたため、同社の自動消費者面接システム(ACIS)の一部で脆弱なソフトウェアが生き続けていることを検出できなかったという。訴状では、Equifaxが自社システムの「オープンゴマ」脆弱性を数カ月も検出しなかったと主張している。
ACIS ポータルに保存されているデータの機密性はどの程度ですか? 「ホーム・アローン」のあの直接的な金切り声を上げてからしばらく経ったのなら、今がその時かもしれません。なぜなら、このポータルは Equifax が消費者によってアップロードされた文書を含む、消費者紛争に関する情報を収集したポータルだったからです。さらに、Equifax はそのプラットフォームを消費者信用の凍結、詐欺の警告、さらには無料の年間信用報告書の要求にも使用しました。したがって、毎年何百万人もの消費者が ACIS ポータルを利用していました。の 苦情 詳細については で概説していますが、社会保障番号、生年月日、クレジット カード番号、有効期限などを探している情報犯罪者にとって、ACIS 上のデータはグレード A の重要なものだったと言えば十分でしょう。
消費者への被害をさらに悪化させたのは、ACIS がもともと 1980 年代に構築され、Equifax 社内の文書でさえ ACIS を「時代遅れ」「時代遅れのテクノロジー」と呼んでいたという事実です。さらに、訴状では、Equifax がパッチの必要性について警告する電子メールを 400 人以上の従業員に送信した際、同社は ACIS の一部を担当するスタッフにこの脆弱性について警告しなかったと主張しています。
Equifax は 4 か月以上にわたってパッチが適用されていない脆弱性を発見できませんでした。 2017 年 7 月下旬、同社のセキュリティ チームは ACIS ポータル上で不審なトラフィックを発見しました。彼らはそれをブロックしましたが、翌日さらに疑わしいトラフィックを特定しました。そのとき、Equifax はプラットフォームをオフラインにし、ハッカーを特定するフォレンジック コンサルタントを雇いました。s すでに脆弱性を悪用していました。しかし事態はさらに悪化します。このコンサルタントは、攻撃者が ACIS システム内に侵入すると、ネットワークの他の部分にアクセスし、同様に機密性の高い情報を含む無関係な多数のデータベースを探索できることを突き止めました。さらに、ACIS データベースに接続されたストレージ スペースにアクセスし、プレーン テキストで保存された管理者資格情報が含まれ、さらに機密データを取得するために使用されました。 Equifax のフォレンジック分析によると、攻撃者は (特に) 約 1 億 4,700 万件の名前と生年月日、1 億 4,500 万件の社会保障番号、20 万 9,000 件のクレジット カードとデビット カードの番号と有効期限を盗むことができました。
の 苦情 Equifax の多くの行動と不作為が、金融機関に包括的な情報セキュリティ プログラムの導入と維持を義務付ける FTC 法およびグラム・リーチ・ブライリー保護規則の違反につながったと主張しています。例えば:
- Equifax は、従業員がパッチ適用プロセスを確実に実行したかどうかを確認しませんでした。
- Equifax は、脆弱なソフトウェアが使用されている可能性のあるすべての場所をチェックするように適切に設定されていない自動スキャンを使用していたため、パッチが必要であることを検出できませんでした。
- Equifax は、攻撃者が盗める機密データの量を制限するためにネットワークをセグメント化することに失敗しました。
- Equifax は、管理者の資格情報とパスワードを保護されていないプレーンテキスト ファイルに保存しました。
- Equifax は 10 か月前に期限が切れていたセキュリティ証明書の更新に失敗しました。そして
- Equifax は、ACIS のような「レガシー」システムへの侵入を検出しませんでした。
訴状では、これらが消費者の大規模な個人情報侵害の一因となった要因として挙げられている。
の 決済 Equifaxは、影響を受けた消費者に信用監視サービスを提供し、Equifaxから信用または身元監視サービスを購入した人々に補償し、2017年の金融危機の結果発生した自己負担費用を消費者に償還する基金に少なくとも3億ドルを支払うことをEquifaxに義務付けている。データ侵害。エクイファックスは、最初の支払いが消費者の損失を補償するのに十分でない場合、基金にさらに最大1億2500万ドルを追加する予定だ。エクイファックスはまた、48の州、コロンビア特別区、プエルトリコに1億7500万ドル、CFPBに民事罰金1億ドルを支払う予定だ。 (FTC には、このような事件で民事罰を科す法的権限はありません。)
経済的救済は和解の一部にすぎません。この命令に基づき、Equifax は必要な包括的な情報セキュリティ プログラムを実装する必要があります。NG – とりわけ – それは:
- Equifax は協力する必要があります内部および外部のセキュリティ リスクを年次評価し、それらに対処するための安全策を導入し、それらの安全策の有効性をテストする。
- Equifax は、Equifax が保存した個人情報にアクセスできるサービス プロバイダーも適切なセキュリティ プログラムを実装するようにします。そして
- Equifax は必須ですEquifax 取締役会からの年次認証では、事実上、「はい、当社が適切な情報セキュリティ プログラムに関する命令の要件を遵守していることを証明します。」と書かれています。
Equifax の和解は、基本的なセキュリティ上のミスがいかに驚異的な結果をもたらす可能性があるかを研究したものです。この事例から他の企業が得られるヒントをいくつか紹介します。私たちはアドバイスを探す必要はありませんでした。引用はすべて FTC のパンフレット「Start with Security」からのものです。
「サードパーティ製ソフトウェアを更新してパッチを適用します。」 企業は、US-CERT からのセキュリティ警告を最大限の真剣に扱う必要があります。 Equifax の 48 時間パッチ管理ポリシーは紙の上では良さそうに見えたかもしれませんが、紙では重大なソフトウェアの脆弱性にパッチを適用することはできません。もちろん、IT チームに適切なパッチと修正を実装するように指示する必要があります。しかし、会社が効果的に業務を遂行できるようにするためには、ベルトとサスペンダーのシステムも必要です。
「適切な構成を確認してください。」 自動脆弱性スキャンの使用には本質的に何の問題もありませんが、どこを調べればよいのかがわかるように設定されていない場合、それは単なる 0 と 1 の集合に過ぎません。訴状では、Equifax が、どのシステムでどのソフトウェアが実行されているかの正確なインベントリを維持していなかったことが問題を悪化させたと主張しています。これは、ACIS プラットフォームの脆弱性を発見しやすくする基本的な慣行でした。
「ネットワーク上のアクティビティを監視します。」 誰が入ってきて何が出るのか?これは、効果的な侵入検知ツールが不正なアクティビティを検知したときに尋ねることです。効果的な侵入検知システムがあれば、Equifax は脆弱性をより早く検出でき、影響を受ける消費者の数を減らすことができたかもしれません。
「ネットワークをセグメント化します。」 船舶の水密区画の背後にある考え方は、たとえ構造の一部が損傷しても、船舶全体が沈没することはないというものです。ネットワークをセグメント化して、機密データをシステム上の別の安全な場所に保存すると、同様の軽減効果が得られる可能性があります。たとえ攻撃者がシステムの一部に侵入したとしても、ネットワークを適切にセグメント化することで、データ oops が本格的な OMG に変化することを防ぐことができます。
FTC は企業向けのセキュリティに関するアドバイスをさらに提供しています。あなたは Equifax 侵害の影響を受けた消費者ですか?補償の申請方法については、ftc.gov/equifax (スペイン語でも利用可能) にアクセスしてください。
