コンテンツにスキップ

イラスト:セキュリティ管理

カジノサイト

米国2017年のEquifax侵害で中国軍関係者を告発

スコット・ブリスコー著
2020 年 2 月 11 日

セキュリティの今日

1日前、米国司法省 (DOJ) 2017 年の Equifax のデータ侵害における役割として、コンピューター詐欺と経済スパイ活動を行った中国人民解放軍。 Equifax is one of the leading credit reporting agencies, and the breach exposed names, Social Security numbers, and other sensitive information on more than 145 million Americans.

司法省は、ハッキングがどのように実行されたかについて記者会見とリリースで詳細を共有しました。

「被告らは、Equifax のオンライン紛争ポータルで使用されている Apache Struts Web Framework ソフトウェアの脆弱性を悪用した」と司法省は述べた。 「彼らはこのアクセスを使用して、Equifax のオンライン紛争ポータルを偵察し、Equifax のネットワークをさらにナビゲートするために使用できるログイン資格情報を取得しました。被告は数週間かけてクエリを実行して Equifax のデータベース構造を特定し、Equifax のシステム内で個人を特定できる機密情報を検索しました。」

同省は、この侵害とその後のデータ盗難は、米国国民の重要な個人情報を入手するための中国による組織的な取り組みの一環であると述べた。

2019 年 11 月, セキュリティ管理provided depth and detail on the settlement Equifax reached with the Federal Trade Commission for failing to patch its systems, which would have prevented the alleged Chinese actors from gaining access.罰金と無料信用報告書の提供に加えて、Equifax は厳格な IT システム セキュリティ検査を受けなければなりません。

It’s become a cliché description in cybersecurity: There are two kinds of companies, those who have experienced breaches and those who have been breached and don’t know it.記事「」違反の回避” (セキュリティ管理、2018 年 12 月) は、組織がサイバー攻撃をどのように阻止しているかを調査した論文の調査結果を検証しています。調査結果の 1 つは、標準的な物理的セキュリティの実践から逸脱したものです。

“Additionally, organizations that are avoiding breaches are using playbooks to address incidents—much like physical security professionals use playbooks to walk through response to a fire in the facility or an active shooter," wrote Senior Editor Megan Gates. "These playbooks should recommend 'mitigation and shielding steps based on asset criticality and threat classification' so that any security analyst can follow the instructions to reduce risk to the organization, the white paper said. Playbooks should also be updated regularly to address changes in IT systems and software that the organization is using.”

Equifax の侵害はソフトウェアの脆弱性を利用したものでしたが、サイバー リスクを特定する際には人的要因も同様に重要であることを覚えておくことが重要です。 「巧みな操作” (セキュリティ管理、2018 年 9 月) はこのリスクについて検討しています。

「国家、犯罪者、活動家、不誠実な競争相手など、高度な攻撃者は、ほとんどの組織に見られる最も重大な脆弱性である人的要因を頻繁に標的にします。人間と組織を保護するためのテクノロジーとの相互作用は、セキュリティにおける最も弱い部分と呼ばれることがよくあります」と、戦略的リスク管理のビジネス インテリジェンス ディレクターであり、ウェブスター大学の非常勤教授である CPP のピーター ワームカ氏は書いています。大学のサイバーセキュリティ修士課程。

「これらの攻撃者が人的要因の脆弱性を悪用するために使用する最も一般的な方法は、ソーシャル エンジニアリングです」と彼は説明しました。 「…ソーシャル エンジニアリングとは、組織の内部関係者を巧みに操作して、ソーシャル エンジニアにとって関心のある特定の行動を実行させることです。内部関係者には、組織の従業員だけではありません。警備員、清掃員、ケータリング会社、自動販売機のストッカー、メンテナンス請負業者などのサービス プロバイダーを含む、標的の組織に護衛なしでアクセスできるあらゆる人が含まれます。」

arrow_upward