2018年のデータ侵害トップ６

今年のデータ侵害を振り返る時期になりました。データセキュリティに関して、2018年はどういう年だったでしょうか？ポッドキャストで、イプスイッチの同僚と今年のデータ侵害トップ６について話し合いました。

2017年には、WannaCry と NotPetya がありました。そのほかにもランサムウェア攻撃の被害が続々と発覚しました。2018年については、年初に、同僚の Jeff Edwards とクリプトジャッキングが激増すると予測しましたが、それは見事に外れました。Bitcoin などの仮想通貨は、2018年1月時点の驚異的な価値から現実レベルに戻っています。若干の押し戻しなどはあるものの、クリプトジャッキングでは、サイバー犯罪者が期待したほどの莫大な利益は得られないようです。

これは一年の予測をすることがいかに難しいかの傍証にもなりますが、当たらないことも含めて予測するのは楽しいものです。今年は、ランサムウェアやクリプトジャッキングより、大規模なデータ保護違反が目立ちました。理由の１つは、GDPRが今年5月から施行されたことにあります。データ保護違反で処罰されることになれば、企業の死活問題にもなりかねませんから、多くの企業でデータセキュリティを真剣に捉え始めています。データセキュリティを軽視できる時代は終わりました。

筆者が推測するに、今年露見したセキュリティ侵害の数が非常に多い理由は、データセキュリティ対策が万全でなかった企業が、収益悪化を招く重い罰金を避けるために、早めに報告せざるを得なかったせいではないかと思います。そのために、データセキュリティの不備による問題が次々に報じられました。2018年は、企業のデータセキュリティ対策のお粗末さが集中的に露呈した年だったと言えるかもしれません。個人情報が次々に流出しており、今や大企業はそれに答える必要があります。

2018年のデータ侵害トップ６（ポッドキャスト録音時点での）は、以下の通りです。

1. Marriott: 5億人の顧客

世界最大のホテルチェーンであるマリオットのデータ侵害は、ハッカーがスターウッドの宿泊予約データベースにアクセスしたというものです。2014年以降、4年間も見過ごされていました。攻撃者は5億人の顧客の個人識別可能情報と財務情報にアクセスしました。アクセスされた情報には、名前、住所、電話番号、メールアドレス、パスポート番号、生年月日、スターウッドのアカウント情報などが含まれ、合計3億8,300万件の被害については複数データを組み合わせる形で盗まれました。暗号化されてはいましたが、顧客のクレジットカード情報もアクセスされました。マリオットは、暗号化キーもアクセスされたかどうかについては言及していません。ハッカーは、DLP（データ損失防止）ソフトウェアに見破られなうよう、データを暗号化したかもしれず、暗号化される前のデータにアクセスできたかもしれません。スターウッドは2016年にマリオットに買収されましたが、その前の2015年11月にPOSマシンへのデータ侵害の被害にあっていることにも注意が必要でしょう。

2. Under Armour / MyFitnessPal: 1億5,000万人の顧客

アンダーアーマーが所有する健康・食事管理サービスの MyFitnessPal が、2018年3月にハッキングされました。ハッカーは、1億5,000万人のユーザーのユーザー名、メールアドレス、ハッシュされたパスワードにアクセスしました。支払い情報の漏洩はなく、データ侵害の事実は一週間以内に開示されました。漏洩したパスワードのほとんどは bcrypt でハッシュされていたので破るのは非常に難しいはずですが、一部のパスワードについては解読が容易なSHA-1で暗号化されていました。2018年6月に同社に対して訴訟が起こされました。

3. Quora：1億人のユーザー

12月6日月曜日、Q&Aサイト Quora は、侵入者が1億人のユーザーのアカウント詳細にアクセスしたことを発表しました。Quora は前週の金曜日にこのデータ侵害を発見したと述べています。侵害されたデータには、ユーザーID、メールアドレス、そして完全に暗号化されたパスワードが含まれていました。Quora はすべてのユーザーをログアウトさせ、パスワードをリセットするよう依頼しました。

4. MyHeritage: 9,200万人の顧客

2018年6月に開示された情報によると、イスラエルに本拠を置く家族ネットワークと家系図のサイトである MyHeritage で9,200万人を超えるユーザーのデータが漏洩しました。この侵害は2017年10月26日に起こり、ハッカーはメールアドレスとハッシュされたパスワードにアクセスしました。使用されている暗号化の種類は明確ではありません。家系図とDNA情報は別々のシステムに保存されており、アクセスされませんでした。

5. Ticketfly (Eventbrite): 2,700万件のアカウント

2018年5月30日にオンラインチケット発行サイト Ticketfly でデータ侵害が発見され、一時的に全システムを遮断して対処にあたりました。その週の土曜日の朝までには全システムが復旧しました。名前、住所、メールアドレス、電話番号などが含まれる2,700万件のアカウント情報がアクセスされました。クレジットカード情報やパスワードはハッキングされていません。

6. Facebook: 3,000万人のユーザー

2018年はフェイスブックがかなり評判を落とした年でした。事あるごとに、ユーザーのデータプライバシーについてフェイスブックがいかに真剣に考慮したことがなく軽々しく取り扱ってきたかを示唆する情報が露見しました。2018年上半期に、2016年の選挙期間中に、政治キャンペーンのため、許可なく（調査に同意したのは約27万人） 5,000万人以上のフェイスブック・ユーザーの個人情報にアクセスしたというケンブリッジ・アナリティカ社のデータ不正疑惑によって非難の的になりました。

9月には、フェイスブックは何千万人ものユーザーに影響を及ぼすデータ侵害を発見しました。最初にアクティビティの異常な急増に気が付いてから、”View As” 機能（自分のプロファイルが他のユーザーからどのように見えるかを確認する機能）の脆弱性をついた攻撃だと判明するのに11日間かかりました。攻撃者は、パスワードを再入力せずにアプリケーションを再使用できるようにするためのアクセストークンを盗んで、ユーザーのアカウントへの完全なコントロールを獲得しました。 フェイスブックのブログによると、2日間で脆弱性問題を解決し、アクセストークンをリセットしました。当初、5,000万人と想定されましたが、実際にアクセストークンを盗まれたユーザーは約3,000万人でした。