不正アクセスを検知できず：Equifaxの情報流出は「人為ミスと技術的失敗」、前CEOが証言 (1/2)

Equifaxのセキュリティ部門が行ったスキャンではApache Strutsの脆弱性を発見できず、同社のセキュリティツールも不正アクセスを検出できなかった。

　米信用情報機関大手のEquifaxから顧客の個人情報が大量に流出した事件に関連して、責任を取って辞任した前CEOが、米下院の委員会で事件の経緯を説明した。同社は10月2日、影響を受けた米国の顧客は当初の発表より250万人多い計1億4550万人だったと発表している。

Equifaxは、情報流出事件について、影響を受けた米国の顧客は当初の発表より250万人多い計1億4550万人だったと発表している

　この事件ではEquifaxが9月7日の発表で、消費者の個人情報が大量に流出していた事実を公表。その後の調査で、米国のWebサイトのアプリケーションに存在していたApache Strutsの既知の脆弱性（CVE-2017-5638）を悪用されていたことが分かった。

• 関連記事→米信用情報機関の個人情報大量流出、Strutsの脆弱性放置が原因

　Equifaxのリチャード・スミス前CEOは責任を取る形で辞任し、最高情報責任者と最高セキュリティ責任者も交代人事が発表されている。スミス氏は10月3日に行った米下院小委員会での証言で改めて謝罪し、事件が起きた経緯を説明した。

　それによると、米国土安全保障省のセキュリティ機関US-CERTから、Apache Strutsの脆弱性についてパッチを適用するよう通知があったのは2017年3月8日。Equifaxは消費者向けのWebサイトでStrutsを利用していた。

　Equifaxは3月9日の社内メールでStrutsを更新するよう担当者に指示したが、48時間以内の対応を定めたセキュリティ部門の規定があったにもかかわらず、この時点では社内でStrutsの脆弱性は発見されず、対応も行われなかった。

　さらに、3月15日に情報セキュリティ部門が行ったスキャンでもStrutsの脆弱性は検出できず、EquifaxのWebアプリケーションに存在していた脆弱性が放置される形になった。