データ漏洩は、あらゆる業界の無数の企業に影響を与えています。サイバーセキュリティ事故をここで取り上げるにあたり、漏洩の範囲、アクセスされた情報の種類、被害全体を考慮しました。これらの漏洩の多くは、複数のレベルでの基本的なサイバーセキュリティの失敗が原因で発生しました。世界の大企業の中には、こうした穴にはまり、単独のハッカーであろうと国家が支援するグループであろうと、攻撃者に対して脆弱な状態に陥っている企業もあります。これから紹介する9件のデータ漏洩は、最もひどい事故の一つです。

Table of Contents

  1. Clearview AI
  2. First American Financial Corporation
  3. Facebook
  4. MongoDB Databases
  5. Equifax
  6. Capital One
  7. US Office of Personnel Management
  8. Uber
  9. Yahoo

1. Clearview AI

Clearview AIは、自社の顔認識プラットフォームを強化するために、何十億枚もの公開写真をスクレイピングすることで物議を醸しているスタートアップ企業です。侵入者は何らかの欠陥を発見し、同社の顧客リストにアクセスしました。2,200社の顧客リストは、このリストに掲載されている他のデータ漏洩に比べると小さいですが、法執行機関の主要なユーザーベース以外にも、多くの驚くべき企業がたくさん含まれました。 BuzzFeed Newsによると、ベストバイなどの小売業者もクリアビューAIの顧客に含まれていました。個人でもサインアップすることができ、クライアントは27カ国に及びました。この漏洩事件は2020年2月に発生し、同社は事件後にシステムのパッチを当てて脆弱性に対処しました。

2. First American Financial Corporation

First American Financial Corporationは、フォーチュン500にランクインしている大手不動産権原(タイトル)保険会社です。 同社は、同社のウェブサイト上で公開されている文書が原因で発生した長期にわたる漏洩被害を被っていました。不動産取引の性質上、First American Financial Corporationには、運転免許証、電信取引、社会保障番号、銀行口座情報など、機密性の高い情報が書類の中に豊富に含まれていました。

文書のURLを持っている人なら誰でも、リンク先の数字を変えるだけで他の文書にアクセスできました。このシステムでは、このデータを閲覧するために認証を必要とせず、この脆弱性は2003年にまでさかのぼります。この方法により、8億8500万件以上のレコードにアクセスすることが出来ました。不動産開発業者のベン・ショヴァル氏はこの問題を発見しましたが、同社から回答を得ることが出来ませんでした。彼はKrebsOnSecurityに連絡を取り、このプロセスを支援してもらうことにしました。ファースト・アメリカン・ファイナンシャル社は、この設計上の欠陥に対処するため、文書ウェブサイトを無効化にしました。

3. Facebook

Facebookはいくつかのデータ漏洩を経験していますが、ここではサードパーティのFacebookアプリケーションによって引き起こされたインシデントのうち、いくつかを取り上げます。メディア企業であるCulture Colectivaは、公開されているAmazon S3バケットを介して146ギガバイト、5億4,000万件のレコードを含む大規模な漏洩を起こしました。彼らは、FacebookのID、ユーザー名、コメントなどのソーシャルメディアの活動を含む情報にアクセスしました。膨大な量の記録があることから、この事件は注目を集めています。

別のデータ漏洩事件では、"At the Pool "と呼ばれるアプリに登録した22,000人のユーザー名、パスワード、その他の情報が漏洩しました。このアプリケーション開発者はまた、データベースのバックアップを一般にアクセス可能なAmazon S3バケットに依存しており、そこにはプレーンテキストで保存されたデータがありました。ユーザーがアプリにサインアップした際に提供されたアカウントの詳細に加えて、データベースにはFacebookのユーザーID、「いいね!」、「興味」、「グループ」、その他のソーシャルメディアの活動も含まれていました。

"At the Pool "は、セキュリティ機関から通知を受ける前に、その脆弱性に対処しました。しかし、Culture Colectiva社は無反応でした。そのS3バケットのセキュリティが確保されるまでに4カ月もかかりました。

4. MongoDB Databases

所有者が不特定のMongoDBデータベースがいくつかあり、保護が不十分なために10億以上のレコードが公開されました。Security Discoveryの研究者であるボブ・ディアチェンコ氏は、最初に2億7,500万件以上のレコードを持つデータベースを取り出しました。そのデータには、インド人の名前、電子メール、職歴、生年月日、職業の詳細などが含まれていました。MongoDBデータベースは、ホスティングにAmazon AWSを使用しており、データは2週間以上にわたって公開されていました。ハッカー集団「ユニステラ」がデータベースを攻撃し、レコードを削除しました。 

ディアチェンコ氏は調査を続け、さらに4つの安全でないMongoDBデータベースで大規模なデータ流出が確認されました。これらのデータベースには、8億800万件以上の電子メール、2億件以上の履歴書、7700万件以上の個人情報の記録がありました。これらのMongoDBインスタンスにはいずれもパスワードがなく、潜在的な漏洩を防ぐために利用可能な保護設定オプションを利用できなかったため、技術そのものというよりもデータベース管理者のミスによるものでした。 データベース管理のベストプラクティスを遵守することは、データセキュリティにとって非常に重要な要素です。

5. Equifax

Equifaxは、数百万人ものアメリカ人および企業の機密情報を収集している大手消費者信用調査機関の一つです。エクイファックス社は、米国の人口のほぼ半数のデータに加え、カナダとイギリスの記録の一部が流出するというデータ漏洩事故に見舞われました。社会保障番号、運転免許証番号、クレジットカード番号、住所、その他の個人情報が影響を受けました。中国軍の4人のメンバーがこの攻撃で起訴され、議会の公聴会、連邦取引委員会の調査、証券取引委員会の調査、政府や個人による複数の訴訟の対象となりました。ハッカーは、約2ヶ月間にわたってEquifaxのクレジット紛争アプリケーションにアクセスし、Apache Strutsの脆弱性「CVE-2017-5638」を利用していました。この脆弱性は、Equifaxのハッキングに先立ってパッチで対処されていましたが、同社は違反前にシステムへの適用を怠っていました。

このデータ漏洩の影響は、アクセスされた情報が別の個人情報の盗難を容易に助長する可能性があるため、消費者の間で広範囲に影響を及ぼしてします。信用情報にマイナスのマークが付くと、仕事の機会を失ったり、ローン商品やクレジットカードを利用できなくなったりと、さまざまな結果を招きます。消費者は、信用情報を凍結し、覚えがない活動がないかどうかを積極的に監視する必要がありました。

6. Capital One

最大手のクレジットカード発行会社の一つであるCapital Oneは、1億600万人の顧客の記録が漏洩しました。元ソフトウェアエンジニアのペイジ・トンプソンは、AWSのスペシャリストとしての専門知識を駆使して、誤って設定されたアプリケーションファイアウォールを利用し、Capital Oneのサーバーの1つにアクセスしました。このサーバーには、米国とカナダの顧客の記録が含まれており、社会保障番号、銀行口座番号、クレジットスコア、個人情報などの情報が含まれていました。これらのデータはクレジットカードの申請から得られたもので、10年分以上の記録が含まれていました。

彼女がCapital Oneの情報を保持していることを公に公開したことで、違反が発覚し、彼女は逮捕されました。彼女はGitHub、Twitter、Slackなど複数の場所に投稿し、どのようにしてサーバーにアクセスしたのかを詳細に説明しました。彼女の目的は、社会保障番号や個人情報を配布することでしたが、その動機は不明です。

7. 米国人事管理局

米国人事管理局(OPM)は2015年、同社のサーバーから2000万人分の個人データが盗まれました。アクセスされたレコード数は他の大規模な漏洩に比べて少ないですが、データの内容がその深刻さを大きくしました。ファイルは、連邦政府とのセキュリティクリアランスを取得する際に使用されるSF-86フォームでした。このフォームには、申請者の指紋など、かなりの量の機密情報が含まれています。

OPMのIT部門は2014年3月に違反の兆候を発見しました。しかし、ハッカーがどのようにシステムに侵入したのか、誰が関与しているのかは特定できませんでした。兆候は、バックドアを作成するために使用されたマルウェアのため、中国からの国家ぐるみの攻撃者であると特定されました。最初の発見時には、人事ファイルへのアクセスはありませんでした。OPM当局は、事件の詳細を知るためにハッカーの活動を監視することにしました。残念ながら、このアプローチは裏目に出てしまい、攻撃者はシステムのリセットに耐えられるバックドアを確立してしまいました。攻撃とデータへのアクセスは2013年11月から2015年4月までに及び、内務省のサーバーにまで波及しました。

このハッキングに続く影響は、議会の調査、組合の訴訟、OPMの指導者の複数の辞任などを含んでいます。CIAのために働いていた潜入捜査官の中には、記録が漏洩したために罷免された者もいました。2ファクター認証の欠如は、この違反における最大のセキュリティ・ベストプラクティスの失敗の一つと考えられています。

8. Uber

Uberは2016年、60万件の運転免許証を含む5,700万人の顧客とドライバーの情報が漏洩するデータ漏洩に見舞われましたた。2人のハッカーチームがUberへの攻撃を行い、その後、他のテクノロジー企業を標的にしました。彼らはUberのユーザーデータを含む第三者のサーバーにアクセスしました。このケースで注目すべきは、Uberの元CSOが、企業のバグバウンティプログラム(脆弱性報奨金制度)を通じて、ハッカーの脅迫により10万ドルの支払いを選択したことです。その支払いに続いて、彼は違反を隠蔽しようとしてFTCの調査を妨害したとされています。元CSOは業務妨害で刑事告発され、訴訟は現在進行中です。

9. Yahoo

米Yahooのデータ漏洩は2013年に発生したもので、記録の量に関しては今でも最も大規模なものとなっています。同社の全ユーザーベースである300万アカウントが攻撃の対象となりました。米Yahooは2016年まで問題を公表せず、影響を受けたユーザーの影響範囲が発表されたのは2017年になってからでした。セキュリティの質問と回答、ハッシュ化されたパスワードなどがこの情報の中に含まれており、生年月日、名前、メールアドレスも含まれていました。米Yahooは、国家が支援したハッカーがこれらのデータを使ってウェブクッキーを作成し、パスワードを持たずにユーザーアカウントにアクセスできるようにしたと考えています。同社は、このデータの一部がダークネット上で販売するために広告が出されていたことにより、漏洩が発生した2年後にこの事実を把握しました。

Integrate.ioでサイバーセキュリティのギャップに対処する

大企業であっても、サイバーセキュリティのベストプラクティスを正しく実行できていないことがあります。このようなデータ漏洩の多くは、積極的かつ複数海藻での保護を提供する包括的なデータセキュリティ計画によって対処することができます。

将来のデータ漏洩の被害を最小限に抑えるために、あなたの企業は今何をしていますか? 始めるための一つの方法は、安全で堅牢なプラットフォームでデータ統合を保護することです。

ぜひIntegrate.ioのオンラインデモを通して、データ統合プラットフォームがどのように皆さんのデータ処理プロセスを安全に保つのかをご確認いただければと思います。