WirelessWire News The Technology and Ecosystem of the IoT.

クレジットカード イメージ

IDのデフォルト設定値とEquifax情報漏洩の意味

2017.11.14

Updated by WirelessWire News編集部 on 11月 14, 2017, 07:00 am JST

米国の大手信用情報会社Equifax社から1億4300人分の個人情報が漏洩した事件(「1億4,300万人が被害を受けている『米エキファックス情報漏洩』の顛末」)では、氏名や社会保障番号、生年月日、住所、一部の運転免許証番号、さらに20万9,000件近くのクレジットカード番号が流出したとされている。原因としては、3月に発覚していたApache Struts2の脆弱性(「更新:Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)(S2-046)」)への対処を怠ったことのようだ。

これとは別に10月には、サイトにクリックするとFlash Playerのインストール画面に見せかけた不正なページにリダイレクトされ、アドウェアをインストールさせる危ないリンクを掲載(「New Equifax Website Compromise」)するなど問題続きだ。

サイトはセキュリティを強化して再開されているが、Apacheというサーバーレベルの脆弱性とはまた別の脆弱性を懸念する声(「Equifax reopens salary search site, security expert says it’s still vulnerable」)もある。

Equifaxの「ワークナンバー」というサービスでは、個人の収入を知ることができる。自分で、今の収入はいくらですと自己申告するのでは信頼できないが、Equifaxが第三者的にそれを裏書きしてくれるといったものだ。例えば、企業が中途採用の社員の前職での収入を調べたり、個人が家の購入やローンの申し込みの際に、十分な収入があることを証明するために利用することもできる。数万社が自社の従業員の給与情報をEquifaxに提供しているという。

ワークナンバーにログインするには、まず会社名か会社コードを入力、次に社員番号を入力する(ログイン画面)。社員番号というと特別な番号体系になっていそうなものだが、多くの企業がここに社会保障番号を使っているという。冒頭に述べたように、これは流出した情報だ。

次に入力しなければならないのがPIN。キャッシュカードの暗証番号などの個人識別番号のことなのだが、多くの場合、社員の生年月日になっているらしい。yyyy/mm/ddやmm/dd/yyyyからスラッシュを外した8桁の数字だが、この生年月日も漏洩している。

セキュリティ強化のため、新たに導入されたのはKBA(ナレッジベース認証)。本人にしか分からないはずの情報(母親の旧姓や初めて観た映画や好きな車など)を登録しておいて、ログインの時に質問を表示して答えさせるという認証方式だ。しかし、答の多くは、ソーシャルメディアは言うに及ばず、「Zilllow」「Spokeo」といったサイトからも第三者が簡単に入手できてしまう。

なぜ企業は、社員番号の代わりに社会保障番号、PINに生年月日を使ってしまうのだろうか。「Aには社会保障番号を、Bには生年月日を入力すること」と通知する方が、新たに乱数か何かで番号などを生成して従業員に割り当てて、それをミスなく本人通知するよりもずっと楽ではある。セキュリティ上のリスクであることは間違いないとはいえ、例えばモバイル端末へのショートメッセージを使った二段階認証を導入などとなれば、入社の条件として携帯電話の保有を条件にしたり、社員全員にスマホを支給したりということにもなりかねず、これまた非現実的な話だ。

パスワードやPIN、ログイン名などを自分で変更できる場合には、生年月日や社会保障番号の使用をやめることで、以後、知らない誰かに給与情報を見られる心配を軽減できるが、変更手段が提供されていないならば、「誰も自分の収入になど興味を持ちませんように」と祈るほかないのかも知れない。

WirelessWire Weekly

おすすめ記事と編集部のお知らせをお送りします。(毎週月曜日配信)

登録はこちら