ずさんなデータ管理の企業文化

　創業が19世紀末に遡るエクイファックスは、「高いセキュリティ」を売り物にしていた。その広告には、「機密情報の漏洩が増加中です。データを守るならエクイファックス。より安心していただけます」と謳っていた。

　スミス氏は10月3日の米議会証言で、「Apache Strutsの脆弱性が3月8日に明らかになった際、社内規定に従ってパッチを当てるよう指示した。しかし、あるセキュリティ部門責任者が、実際のパッチ作業を行わなかった」として、責任転嫁とも取れる発言をした。


　エクイファックスのセキュリティ最高責任者（CSO）であったスーザン・モールディン氏は、スミス氏の退任と同時に辞任している。スミス氏の発言は、このモールディン氏のことを指したのではないかと受け止められている。ちなみに、モールディン氏はジョージア大学で音楽を専攻した人物で、プロフィールにはITやセキュリティ関連の経歴の記述がなく、適任であったかが調査の焦点のひとつとなっている。

　エクイファックスで15年間データ品質担当副社長を務め、2012年に退職したスティーブ・バンビーレン氏は、「従業員が誰でも、個人が特定できるデータにアクセスできる状況を不快に思っていた。プリントされたデータが放置され、社員が大声で個別のケースについて会話をしていた」と述べ、データがずさんに扱われる企業文化があったことを明らかにした。

　ブルームバーグ通信の調査報道によると、エクイファックスはセキュリティに数千万ドル規模の多額投資を行っていたが、セキュリティのオペレーションセンターやソフトウェアの運用が適切でなく、セキュリティ関連の幹部や要員の退任が相次いでいたという。

　こうした状況が続くなか、2017年3月にApache Strutsソフトウェアの脆弱性が報告される。スミス氏が直接指揮するチームが立ち上げられ、セキュリティ対策大手マンディアントに対応が外注された。ところがエクイファックスは、マンディアントが訓練不足の要員を派遣したとして信頼しなかった。

　こうして両社のコミュニケーションが断絶した機会をハッカーたちは活用し、「こじ開け係」と「データ吸い上げ係」に分かれて情報を盗んだことが、システムのブラックボックスに相当するMolochの解析から判明している。ブルームバーグ通信の調査報道は、内部の者が「こじ開け係」としてハッカーの手を引いた可能性があると、捜査当局が疑っていると伝えている。

ちらつく中国の影

　だが、今回の事件では1億4450万人分の膨大なデータが盗まれたにもかかわらず、なぜか情報がダークウェブで売買されていないという不自然さが、専門家の間で指摘されている。金目当てではなく、詐欺やスパイ目的で特定の個人の情報を探り当てようとしたとの説も出ている。

　そこにちらつくのが、中国の影だ。ハッキングに使われた「チャイナ・チョッパー」などのツールの多くが中国製であることが、その疑いを深めている。同じツールは米医療保険大手アンセムや米連邦人事管理局への攻撃に使われた。これらの事件は、中国当局の仕業と断定されている。

　また、ハッカーたちはバックドアの一つであるWebshell（ウェブシェル）を30個以上もエクイファックスのシステムに埋め込んだ。そして、どれかが発覚しても別のshellで犯行を続行できるようにしていた。これは、中国諜報機関が関与していると目される攻撃集団「Shell Crew」の手口と同様である。

　とはいえ、そうしたツールや手口は中国以外でも利用されるため、犯行が中国当局によるものとは、現時点では断定できない。だが、エクイファックスは中国から攻撃を受けたと判断していると、ブルームバーグ通信は伝えている。

【次ページ】信用調査会社ならタダで手に入る個人情報