個人情報大量流出のEquifax、偽サイトへのリンクをツイート

Equifaxの公式アカウントが顧客約1億4300万人の個人情報流出事件に関連して、偽サイトへのリンクをツイートしていた。

» 2017年09月21日 16時00分 公開
[鈴木聖子ITmedia]
Equifax 約1億4300万人の顧客の情報を流出させたEquifaxが、情報提供を目的に開設したサイトとよく似たURLで、偽のサイトが設置されている。セキュリティ研究者が開設したもので、現在はフィッシングサイトとしてChromeなどにはブロックされる

 米信用情報機関大手のEquifaxから、顧客約1億4300万人分の個人情報が流出した事件に関連して、同社の公式Twitterアカウントが誤って偽サイトへのリンクをツイートしてしまうトラブルが相次いだ。米メディアなどが9月20日に伝えた。

 この問題でEquifaxは9月7日、サービスが不正アクセスされて約1億4300万人の個人情報が流出したと発表。同社は専用サイトの「equifaxsecurity2017.com」を開設して、今回の情報流出に関する情報を提供している。

Equifax Equifaxの情報提供サイト

 ところがThe VergeやArs Technicaによると、Equifaxの公式Twitterアカウントに19日に掲載されたツイートでは、この専用サイトではなく、「securityequifax2017.com」という偽サイトにリンクが張られていた。

 さらに9日のツイートでも、同じ偽サイトにリンクを張って閲覧を促していたという。問題のツイートはその後削除されている。

 偽サイトの「securityequifax2017.com」は、セキュリティ研究者が本物のサイトに似せて開設したものだった。「なぜEquifaxはフィッシング詐欺サイトに簡単に真似されてしまうようなドメインを使うのか。Equifaxは信頼できるSSL証明書を使ったequifax.comでこれをホスティングすべきだった」と指摘している。

 今回の情報流出は、Apache Strutsの脆弱性(CVE-2017-5638)が修正されていなかったために発生したことが分かっている。この脆弱性は3月に発覚して修正パッチが公開されたが、EquifaxのポータルWebアプリケーションに残っていた脆弱性を悪用され、5月13日から7月30日にかけて不正アクセスされた。

 Equifaxは、CVE-2017-5638の脆弱性が発覚した時点でセキュリティ部門が社内のITインフラの脆弱性を洗い出してパッチ適用の努力をしたと説明している。9月15日には、同社最高情報責任者と最高セキュリティ責任者の入れ替え人事を発表した。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ