先日、米国とカナダの1億600万人の Capital One の顧客の詳細な個人情報が盗まれたというデータ漏洩が報道されました。
このデータ窃盗は、2005年から2019年の間に、氏名、住所、郵便番号、電話番号、電子メールアドレス、生年月日、自己申告年収、クレジットスコア、与信限度額、残高、支払履歴、連絡先に関する記録が盗まれたというものです。盗まれた情報には、クレジットカード顧客の約140,000の社会保障番号、保護されたクレジットカード顧客の約80,000のリンクされた銀行口座番号、約100万のカナダの社会保険番号も含まれています。とてつもなく膨大な量のデータです。
新法がデータ保護を約束?
このケースに限っては、驚くべきことに、事件はすぐに解決しました。加害者が特定され、彼女の家が捜索され、そして彼女は数日後に起訴されました。この種の犯罪としては信じられないほど驚異的なスピードです!最近のセキュリティ対策強化、業界のベストプラクティス探求、GDPR などの新しい法律、データをより安全に保護するという企業努力といったものが、その成果を上げたと思っていいでしょうか?残念ながらそうではないようです。
Capital One はただラッキーだった?
このハッカーはそれほど聡明ではなかったようで、自分の成し遂げたエクスプロイトをなんと GitHub で自慢していました。あるユーザーが、ハッカーがデータを売ろうとしていることに気付いて、6月19日頃(ハッキングの数ヵ月後)に彼女について報告しました。そのユーザーは、バグ報告専用の電子メールアドレスを使用して Capital One に通知したのですが、ハッキングについて Capital One が知ったのはそのときが初めてでした。
称賛に値すると思いますが、FBI は調査を開始して速やかにハッカーを特定し、数日以内に彼女の家を捜索しました。しかし、もし彼女がそれほど無謀でなければ、Capital One はハッキングについてまったく気づくことなく実被害に遭っていたのではないでしょうか。実際、彼女のオンライン上の不注意さのために、FBI は複数のプラットフォーム上の彼女の投稿を相互参照して、彼女の名前、住所、その他の詳細を簡単に見つけることができました。何人かのセキュリティ専門家は、彼女がつかまりたかったのではないかとさえ推測しています。
There can’t be an infosec person that is shocked by the @capitalone vuln details - especially at massive corps.
— Nicholas J. Percoco (@c7five) July 30, 2019
What surprises me is the “attacker”, @0xA3A97B6C, either didn’t understand the gravity of their actions (& was very sloppy) or did & just really wanted to get caught.
では、Capital One についてはどう考えればいいでしょうか?結局、データ侵害を受けた他のほとんどの企業と同じことです。彼らは明らかに AWS システムを誤って設定し、「設定の脆弱性」を露呈しました。他にも多くのシステムが誤って設定されていたとしても、不思議ではありません。さらに、Capital One が自分たちだけでこのハッキングに気づき得たかどうかさえ疑問です。Capital One が効果的なセキュリティ監視をしていなかったことは明確です。これまで、多くの組織がデータ漏洩を軽視したり、否定したり、隠したりしようとしてきた歴史を考えると、もしハッカーがこれほど早く逮捕されていなかったら、(何らかの手段を使って)ニュースとして報道されることさえなかったかも知れないと疑問に感じたとしても不当とは言えません。
Capital One のデータ侵害への今後の対策は?
Capital One からは、これに関して正確にどう対処しようとしているかの情報はまったく提供されていません。
Capital One のWebページの声明は、次のように述べています。 「私たちは、種々の方法を使って、影響を受けたすべての人に通知します。影響を受けた全員に、無料のクレジット監視とID保護を利用できるようにします。」
それがどのくらいかかるのかは不明です。Equifax の2017年のデータ侵害の被害者に、オンラインで申し立てを行う選択肢が与えられたのは、ごく最近のことだというのをお忘れなく。彼らは「クライアントデータの保護」と「サイバーセキュリティへの投資」の重要性を主張(これは、もはやデータ侵害を起こした企業の常套句です)していますが、そういった常套句の繰り返しに価値があると、誰が考えるでしょうか?すでに大失策を露呈した Capital One が、自分の個人情報をしっかり保護してくれると信頼したいと考える人がいるでしょうか?
まとめ
皮肉なことにこの PR は多数の注目を集めることとなり、Capital One はラッキーでした。データ侵害に遭ったものの、ただ無作為な観察者のおかげで、問題に気が付いて、加害者は速やかに特定され逮捕されました。適切なデータセキュリティ・プラクティス(例えば正しくシステム設定を行うといった)を維持しなかったり、定期的な(設定の脆弱性を特定できる)セキュリティ監視を行わなかったりする組織には、データ侵害が起こり続けるでしょう。周知されないまま闇に葬られるデータ侵害事件がいったいいくつ起きているのか、誰にもわかりません。残念ながら、唯一の救いは、GDPR のようなデータ保護規制へのコンプライアンス違反で、注意を怠った組織に多額の制裁金が科されるだろうという希望があることだけかもしれません。うまくいけば、高額な罰金が企業のセキュリティ対策を大きく向上させるように仕向けるかもしれませんが、まずは自分のアカウント情報の扱われ方を監視し続けたいと思うのが当然でしょう。