Equifaxの情報流出は「人為ミスと技術的失敗」、前CEOが証言:不正アクセスを検知できず(1/2 ページ)
Equifaxのセキュリティ部門が行ったスキャンではApache Strutsの脆弱性を発見できず、同社のセキュリティツールも不正アクセスを検出できなかった。
米信用情報機関大手のEquifaxから顧客の個人情報が大量に流出した事件に関連して、責任を取って辞任した前CEOが、米下院の委員会で事件の経緯を説明した。同社は10月2日、影響を受けた米国の顧客は当初の発表より250万人多い計1億4550万人だったと発表している。
この事件ではEquifaxが9月7日の発表で、消費者の個人情報が大量に流出していた事実を公表。その後の調査で、米国のWebサイトのアプリケーションに存在していたApache Strutsの既知の脆弱性(CVE-2017-5638)を悪用されていたことが分かった。
Equifaxのリチャード・スミス前CEOは責任を取る形で辞任し、最高情報責任者と最高セキュリティ責任者も交代人事が発表されている。スミス氏は10月3日に行った米下院小委員会での証言で改めて謝罪し、事件が起きた経緯を説明した。
それによると、米国土安全保障省のセキュリティ機関US-CERTから、Apache Strutsの脆弱性についてパッチを適用するよう通知があったのは2017年3月8日。Equifaxは消費者向けのWebサイトでStrutsを利用していた。
Equifaxは3月9日の社内メールでStrutsを更新するよう担当者に指示したが、48時間以内の対応を定めたセキュリティ部門の規定があったにもかかわらず、この時点では社内でStrutsの脆弱性は発見されず、対応も行われなかった。
さらに、3月15日に情報セキュリティ部門が行ったスキャンでもStrutsの脆弱性は検出できず、EquifaxのWebアプリケーションに存在していた脆弱性が放置される形になった。
関連記事
- 米信用情報機関の個人情報大量流出、Strutsの脆弱性放置が原因
今回悪用されたApache Strutsの脆弱性は、3月に修正パッチが公開されていた。Equifaxがこの脆弱性を突く不正アクセスの被害に遭ったのは5月中旬だった。 - 米個人情報機関最大手Equifax、1億4300万人の社会保障番号など漏えい
米個人情報機関Equifaxが、7月にサービスへの不正アクセスがあり、約1億4300万人の米国顧客の社会保障番号などの個人情報が流出したと発表した。一部顧客についてはクレジットカード番号も盗まれた可能性があるとしている。 - Apache Struts 2に深刻な脆弱性、既に攻撃が横行 直ちに更新を
この脆弱性は簡単に悪用でき、既に攻撃が横行しているとの情報もあることから、Apache Struts 2を直ちにバージョン2.3.32または2.5.10.1に更新して、脆弱性に対処するよう呼び掛けている。 - Apache Strutsに重大な脆弱性、直ちに更新を
2008年以降にリリースされたStrutsの全バージョンに脆弱性があり、RESTプラグインを使っている全てのWebアプリが影響を受ける。
Copyright © ITmedia, Inc. All Rights Reserved.