個人情報大量流出のEquifax、今度は公式サイトに不正なリンク掲載

Equifaxの公式サイトのリンクをクリックすると、Flash Playerのインストール画面に見せかけた不正なページにリダイレクトされ、アドウェアをインストールさせる仕掛けになっていた。

　顧客約1億4550万人の個人情報が流出する事件が起きた米信用情報機関大手のEquifaxで、今度は偽のFlash PlayerダウンロードページへのリンクがWebサイトに掲載されていた問題が発覚した。

　この問題は、セキュリティ研究者のランディ・エイブラムズ氏が10月11日に自身のブログで報告した。それによると、同氏がEquifaxの公式サイトで自分のクレジットリポートを確認しようとして、サイト上のリンクをクリックしたところ、不正なページにリダイレクトされ、Flash Playerのインストール画面に見せかけたページが表示されたという。

ランディ・エイブラムズ氏がEquifaxのWebサイト上のリンクをクリックしたところ、不正なページにリダイレクトされ、Flash Playerのインストール画面に見せかけたページが表示された（出典：Security Through Absurdity）

　Equifaxはメディア各社に寄せた声明で、「equifax.com」のWebサイトに掲載されたクレジットリポートアシスタントのリンクに問題があったことを確認し、このページを一時的にダウンさせたことを明らかにした。

　米メディアArs Technicaによると、問題のページでは「MediaDownloaderIron.exe」というアドウェアをインストールさせる仕掛けになっていた。Equifaxのサイトに不正なリンクが掲載された理由は不明だが、Equifaxが使っていたサードパーティーの広告ネットワークや分析ツールが原因だった可能性が指摘されている。

　Equifaxは、Apache Strutsの脆弱性が放置されていたことが原因で、大量の個人情報が流出していたことが9月に発覚。その後もTwitterで偽サイトへのリンクをツイートするなどのトラブルが相次いだ。