Equifaxの情報流出は「人為ミスと技術的失敗」、前CEOが証言:不正アクセスを検知できず(2/2 ページ)
» 2017年10月04日 08時55分 公開
[鈴木聖子,ITmedia]
セキュリティツールでは不正アクセスを検知できず
この脆弱性を突く不正アクセスが初めて発生したのは5月13日。以後、7月30日までの間に何度もセンシティブな情報に不正アクセスされていたことが後に発覚したが、その時点でEquifaxのセキュリティツールでは不正アクセスを検出できなかった。
7月29日になってようやく、同社のセキュリティ部門が消費者向けWebサイトに関連した不審なネットワークトラフィックに気づいてこのトラフィックをブロックした。同月30日にも再び不審な挙動が確認されたことから、問題のWebアプリケーションを完全に停止させたという。
しかしその時点で既に、顧客のクレジットカード番号を含む大量の個人情報が流出していたことが、以後の調査で分かった。スミス氏は、「今回の事件は人為ミスと技術的失敗の両方が原因で発生した」と振り返っている。
流出の規模については、セキュリティ企業Mandiantによるフォレンシック分析の結果、影響を受けた可能性がある消費者は米国で約1億4550万人、カナダでは約8000人に上ることが判明。英国での影響についても分析を進めているという。
関連記事
米信用情報機関の個人情報大量流出、Strutsの脆弱性放置が原因
今回悪用されたApache Strutsの脆弱性は、3月に修正パッチが公開されていた。Equifaxがこの脆弱性を突く不正アクセスの被害に遭ったのは5月中旬だった。
米個人情報機関最大手Equifax、1億4300万人の社会保障番号など漏えい
米個人情報機関Equifaxが、7月にサービスへの不正アクセスがあり、約1億4300万人の米国顧客の社会保障番号などの個人情報が流出したと発表した。一部顧客についてはクレジットカード番号も盗まれた可能性があるとしている。
Apache Struts 2に深刻な脆弱性、既に攻撃が横行 直ちに更新を
この脆弱性は簡単に悪用でき、既に攻撃が横行しているとの情報もあることから、Apache Struts 2を直ちにバージョン2.3.32または2.5.10.1に更新して、脆弱性に対処するよう呼び掛けている。
Apache Strutsに重大な脆弱性、直ちに更新を
2008年以降にリリースされたStrutsの全バージョンに脆弱性があり、RESTプラグインを使っている全てのWebアプリが影響を受ける。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- “脱Windows”が無理なら挑まざるを得ない「Windows 11移行」実践ガイド
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 爆売れだった「ノートPC」が早くも旧世代の現実
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。