Equifaxの大規模漏洩・その後

security

米国の消費者信用情報企業ビッグ3の1つ(英語版Wikipediaで見る限り、売り上げはExperianより下の2位のようです)であるEquifax社の大規模漏洩は、つい先日CEO辞任となりましたが、件数(1億4000万件以上)だけでなく、色々と他でも注意すべき問題が出ていたように思います。

侵入口

「Equifax、幹部退任とあわせて侵入事件の新情報を公開」

www.bleepingcomputer.com

Equifaxへの侵入は、Apache Struts脆弱性への攻撃により行われました。侵入者は2017年5月13日~7月30日にかけてアクセスしていたとされています。

この時使われた脆弱性は、つい先日のものではありません。3月に出た「CVE-2017-5638」です。東京都税のクレジットカード支払いサイト(複雑な所有/構築関係で話題になったものですね)や特許情報のPlatPat、科学情報のJ-STAGEなど多数のサイトに影響が出た時のものです。

d.hatena.ne.jp

Equifaxの発表によれば、3月にこの脆弱性情報が公開された後、パッチ適用を進めたものの、2~3のシステムで適用が抜けていたとのこと。

Struts脆弱性は攻撃しやすく効果も抜群な傾向があり、過去に何回も攻略されているわけで、「本質的に安全なものに移行する」「WAFやパッチ適用を含めて細やかに運用する」といった対策が不可欠です。少なくとも今回のEquifaxの体制ではだめでした。

漏洩発表前の株式売却

「Equifax侵入事件が歴史上最悪の個人情報漏洩事件になる可能性が非常に高い理由」

arstechnica.com

この記事などにあるように、Equifaxが情報漏洩の事実を公表する直前に、幹部が2億円相当の株式を市場で売却しています。Equifaxは「売却した幹部には事件のことは知らされていなかった」としていますが、本当に知らないなら極めて重大な事件を適切に扱えていないわけで、どうみても問題でしょう。

公表後の対応

Equifaxは、情報漏洩を公表した後で、「www.equifaxsecurity2017.com」というドメインで「消費者が今回の情報漏洩の被害者かどうかを確認するサイト」を運用し始めました。Equifaxなどの消費者信用情報企業は、消費者と直接契約していないため、消費者側は自分の情報を誰が扱っているのか知らないのです(自分が知らないところで重大な情報が扱われていることも本質的には問題ですが、別の話なので割愛します)。

しかし、そもそもこのサイトがEquifaxの外部に存在する時点で問題があります。いきなり出して信用しろと言われても困ります。さらに悪いことに、Whoisでこのドメインを調べても、どこにもEquifaxの名は出てこないのです。参考のため、ansiでひいた結果を次に示します。

    Domain Name: EQUIFAXSECURITY2017.COM
    Registry Domain ID: 2156034374_DOMAIN_COM-VRSN
    Registrar WHOIS Server: whois.markmonitor.com
    Registrar URL: http://www.markmonitor.com
    Updated Date: 2017-08-25T15:08:31Z
    Creation Date: 2017-08-22T22:07:28Z
    Registry Expiry Date: 2019-08-22T22:07:28Z
    Registrar: MarkMonitor Inc.
    Registrar IANA ID: 292
    Registrar Abuse Contact Email: abusecomplaints@markmonitor.com
    Registrar Abuse Contact Phone: +1.2083895740
    Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
    Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
    Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
    Name Server: BART.NS.CLOUDFLARE.COM
    Name Server: ETTA.NS.CLOUDFLARE.COM
    DNSSEC: unsigned
    URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/

これじゃ詐欺サイトと見られても仕方ありません。

さらに、実際に詐欺サイト作り放題な状況さえありました。Equifaxの公式Twitterアカウントが間違ったサイト(securityequifax2017.com、つまり"security"と"equifax"が逆)を案内していたのです。

「Equifaxカスタマーサービス、個人情報漏洩被害者を数週間ものあいだ偽のフィッシングサイトに案内」

www.theverge.com

このドメインは幸いにも誰にも確保されていない状態だったので、とある開発者が取得して詐欺に使われるのを防ぎましたが、この開発者からの通報に対してEquifaxは適切に応答しないなど、杜撰としか言いようのない状況です。

他社の例

2015年、Equifaxより大きなExperianも1億5000万件もの情報漏洩をやらかしています。ただ、事後対応はEquifaxのような杜撰なものではなかったように記憶しています(というか、漏洩以外にあまり印象が残っていません……)。

「Expraianによるハッキングにより1億5000万人の個人情報が漏洩」

www.theguardian.com