2017年の情報漏えい事例を振り返る。米ヤフーの30億人等、大規模漏洩が相次いだ。
2017年は米ヤフーの30億人のユーザ情報や、エクイファックス1億4550万人の個人情報、Alteryx社1億2千3百万世帯の情報等、一億件を超える情報漏えいが相次いだ。50万件を超える主要な情報漏えい事故について振り返ってみたい。そして、これらの事故から学ぶべき点を考察したい。
・2017年3月 GMOペイメントゲートウェイ73万人の個人情報漏えい
2017年3月10日、GMOペイメントゲートウェイは不正アクセスを受け、最大約72万件の個人情報が流出した可能性があると発表した。本攻撃には、Apache Struts2の脆弱性を利用された。
・2017年4月 Schoolzilla 130万人の利用者情報が公開される事故
学生用データウェアハウスプラットフォームのSchoolzillaがAmazon S3の設定ミスにより130万人の個人情報を公開する事故が起きた。
・2017年5月 WannaCry世界150ヵ国で猛威を振るう
PCに感染すると、データをロックし身代金を支払うまでデータを利用出来なくする、身代金要求ウィルスのランサムウェア「WannaCry」が猛威を奮った。WannaCryは、世界で150ヵ国、PC30万台以上に感染するという過去最大規模の被害をもたらした。ランサムウェアは通常身代金を獲得する目的で配布するが、WannaCryは振込人を特定する機能を持っておらず、身代金を振り込んでも症状が回復しないため、実際に身代金を振り込んだ人々はそれほど多くなく、犯行グループが得た身代金は1400万ドル前後との説が有る。大多数のPCに感染するという点に置いては成功したが、身代金を集金するという目的では失敗したウィルスとの見方も有る。
米国がWannaCryの流行には北朝鮮が関与しているとしたが、北朝鮮側は否定しており、今でもWannaCryの動機や犯行グループは判明していない。
これほど猛威を奮ったWannaCryだが、マカフィーによれば、情報システム担当者に限ってもWannaCryの認知度は50%を下回るという。日本のITの現場では最新のセキュリティトレンドに追随出来ていない実態が明らかになった。
・2017年6月 ダウ・ジョーンズ220万人の情報漏えい
ダウ・ジョーンズ・アンド・カンパニーが所有するAmazon S3の設定ミスにより、220万件~400万件の顧客情報が公開されていた。公開されていた情報には加入者の名前、住所、口座情報、電子メールアドレス、最後の4桁のクレジットカード番号が含まれていた。
・2017年7月 Verizonの加入者1400万人の顧客情報が公開
2017年7月12日、米通信大手Verizonの加入者1400万人の個人情報が、Amazon S3上にURLさえ分かれば、誰でもアクセスしてデータをダウンロードできてしまう状態で公開されていた。
この問題を発見したUpGuardによれば、問題のS3バケットはVerizonからコールセンターなどの業務を委託されたイスラエル企業、NICE Systemsが運用していた。UpGuardはこの問題を発見し、2017年6月13日にVerizonに連絡したが更正されたのは6月22日だったという。
・2017年8月 シカゴ有権者180万人の個人情報公開事故
選挙管理システムベンダーElection Systems&Software(ES&S)社の管理するAmazon S3の設定ミスにより、シカゴ有権者の180万人の情報が誤って公開されていた。公開されていた情報には、名前、住所、生年月日、社会保障番号の一部、場合によっては運転免許証および州の識別番号が含まれていることが確認された。
・2017年9月 エクイファックス1億4550万人の個人情報漏えい
今年のセキュリティ重大ニュースで必ず取り上げられたのがこのエクイファックスだ。2017年9月2日、米信用調査会社エクイファックスは、ハッカーの攻撃を受けて1億4550万人の個人情報流出の恐れがあると公表した。本攻撃は2017年3月から7月にかけて行われ、Apache Strutsフレームワーク内にある脆弱性(CVE-2017-5638)が利用されたと考えられている。同社は同年3月にこの脆弱性を指摘されていたが、パッチ適用に数か月かかり、この間にハッカーらに侵入された可能性があるという。
流出した情報には、社会保障番号や運転免許証番号・生年月日・住所・クレジットカード情報が含まれる。また、同社は7月末の攻撃発覚後、1か月以上も事実を公表しなかったことも有り、社会的批判を浴びることとなった。
・2017年10月 米ヤフー、30億件情報流出
米ヤフーは2016年に、2013年8月に攻撃者の不正侵入によって約10億人の個人情報が盗まれたと公表していた。発表当時は10億人分としていたが、ベライゾン買収後、新たな情報が寄せられ盗難の規模が30億人、ほぼ当時の全ユーザが対象だったことが明らかになった。ただ、広報担当者は1人で複数のアカウントを持っている利用者もいるため、実際の被害者は30億人未満になると説明した。
流出した情報には利用者の氏名や電話番号、生年月日などが含まれている。なお、クレジットカードや銀行口座の情報は含まれないという。
個人情報漏えいでは過去最大規模の流出となった。
・2017年11月 米Uber5700万件の情報漏えい。隠蔽のために10万ドル支払う。
2017年11月21日、米Uberは2016年に顧客やドライバー5700万件の個人情報が流出していたことを明らかにした。流出した情報には氏名や電子メールアドレス、運転免許証番号などの個人情報が含まれていたが、社会保障番号やクレジットカード情報は含まれていなかったという。Uberはこの事件を隠蔽するためにハッカーに対し10万ドルを支払っていた。
個人情報が漏洩したことも問題だが、隠蔽するために攻撃者に10万ドル支払っていたことが社会的に大きな批判を集めた。
・2017年12月 Alteryx社1億2千3百万世帯の情報を公開される事故
データ分析会社Alteryx社が運営する、Amazon S3のアクセス権限の設定ミスにより、1億2千万世帯以上のアメリカの世帯情報が公開されていたことが発覚。
この公開されていたデータには、住所、民族性、興味や趣味、所得、住宅ローンの種類、住居人数などの住人に関する合計248項目の個人情報が含まれていた。
■これらの事故から学ぶこと
上述した情報漏えい事例から学べることが有る。それは、幾つかの漏洩については完全に防ぐことが出来たという点だ。Schoolzilla、ダウ・ジョーンズ、ベライゾン、Election Systems&Software、Alteryxの5件の事故はAmazon S3の設定ミスであり、設定のチェック体制の強化や、クラウドサービスの設定ミスを検出するCASBソリューション等を導入すれば、類似の事故の発生を減少させることが可能になるだろう。
GMOペイメントゲートウェイや、今年一番のセキュリティインシデントとして紹介されることの多かったエクイファックスについては「Apache Struts」の脆弱性に対してパッチが適用されていなかったのが原因であり、パッチのアップデート体制が機能していれば防げた事故だ。
年々セキュリティインシデントは増加傾向に有り、攻撃の高度化が指摘されるが、まずIT資産/インフラを適宜監査し、設定ミスや脆弱性パッチを適用するという基本的な運用が出来ていれば防御出来るサイバー攻撃は多い。企業の規模を問わず、定期的な監査を実施することを推奨する。