ニュース
Equifaxの情報流出は「人為ミスと技術的失敗」、前CEOが証言:不正アクセスを検知できず(2/2 ページ)
Equifaxのセキュリティ部門が行ったスキャンではApache Strutsの脆弱性を発見できず、同社のセキュリティツールも不正アクセスを検出できなかった。
セキュリティツールでは不正アクセスを検知できず
この脆弱性を突く不正アクセスが初めて発生したのは5月13日。以後、7月30日までの間に何度もセンシティブな情報に不正アクセスされていたことが後に発覚したが、その時点でEquifaxのセキュリティツールでは不正アクセスを検出できなかった。
7月29日になってようやく、同社のセキュリティ部門が消費者向けWebサイトに関連した不審なネットワークトラフィックに気づいてこのトラフィックをブロックした。同月30日にも再び不審な挙動が確認されたことから、問題のWebアプリケーションを完全に停止させたという。
しかしその時点で既に、顧客のクレジットカード番号を含む大量の個人情報が流出していたことが、以後の調査で分かった。スミス氏は、「今回の事件は人為ミスと技術的失敗の両方が原因で発生した」と振り返っている。
流出の規模については、セキュリティ企業Mandiantによるフォレンシック分析の結果、影響を受けた可能性がある消費者は米国で約1億4550万人、カナダでは約8000人に上ることが判明。英国での影響についても分析を進めているという。
関連記事
- 米信用情報機関の個人情報大量流出、Strutsの脆弱性放置が原因
今回悪用されたApache Strutsの脆弱性は、3月に修正パッチが公開されていた。Equifaxがこの脆弱性を突く不正アクセスの被害に遭ったのは5月中旬だった。 - 米個人情報機関最大手Equifax、1億4300万人の社会保障番号など漏えい
米個人情報機関Equifaxが、7月にサービスへの不正アクセスがあり、約1億4300万人の米国顧客の社会保障番号などの個人情報が流出したと発表した。一部顧客についてはクレジットカード番号も盗まれた可能性があるとしている。 - Apache Struts 2に深刻な脆弱性、既に攻撃が横行 直ちに更新を
この脆弱性は簡単に悪用でき、既に攻撃が横行しているとの情報もあることから、Apache Struts 2を直ちにバージョン2.3.32または2.5.10.1に更新して、脆弱性に対処するよう呼び掛けている。 - Apache Strutsに重大な脆弱性、直ちに更新を
2008年以降にリリースされたStrutsの全バージョンに脆弱性があり、RESTプラグインを使っている全てのWebアプリが影響を受ける。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.