『脆弱性が存在した状態で放置してしまうと、必ず深刻な事態を招く』という時代に

米国時間の2017年9月7日、米国の三大信用情報会社の1つである Equifax社が不正アクセス被害に遭い、最大1億4300万人分の個人情報が流出したとの発表がありました。
（米国時間の2017年10月2日、流出した個人情報はさらに250万人多い計1億4550万人であると修正発表）

Equifax社は、クレジットスコア（個人の信用力を数値で格付けした情報）などの信用情報を含む約4億人の個人情報を保有しており、今回の被害では氏名、住所情報の他に、社会保障番号やクレジットカード情報などの重要情報が漏えいした可能性があるとされています。

この情報漏えい事故について、Equifax社では2017年7月頃には大規模な情報漏えいが発生したことを把握していたにもかかわらず、9月にようやく正式発表を行ったという対応の遅さや、加えて顧客に対し誠意のある対処ができていないことにより世間から非難を浴びており、サンフランシスコ市やその他複数の集団から訴訟を起こされる事態となっています。また、この事故により同社では米国時間の9月15日にCIO（最高情報責任者）とCSO（最高セキュリティ責任者）が、さらに9月26日にはCEO（最高経営責任者）が引責辞任することとなりました。

このようなセキュリティ対策を万全にすべき信用情報会社が情報漏えい事故を起こしてしまった根本原因は、ウェブサイトの脆弱性対策が万全ではなかった点が挙げられます。Equifax社の声明によると、同社ウェブサイトに存在したApache Struts 2の脆弱性（CVE-2017-5638）が悪用されたとのことですが、この脆弱性は2017年3月に一般公開され同時期に修正パッチがリリースされた脆弱性であることから、脆弱性を数か月間修正していなかったと考えられます。

Apache Struts 2は、世界中の多くのフロントエンドとバックエンドの両方で採用されているウェブアプリケーションであることから、サイバー犯罪者に狙われやすい製品の一つとなります。Apache Struts 2の修正パッチは比較的短い期間でリリースされており、2017年9月においても重大な脆弱性が立て続けに公開されています。このため、Apache Struts 2を利用している環境では修正パッチがリリースされるたびに早急な対策が必要となります。

Equifax社のように『脆弱性が存在した状態で放置してしまうと、必ず深刻な事態を招く』という認識で、脆弱性情報を継続的に収集し、適切な対処判断を行うことが必須の状況です。また、人による注意や監視だけではなく、セキュリティ脆弱性診断ツールを使用した自動の診断を毎日定時に実施し、前回分と差分が発生すれば自動でメール等で連絡する仕組みの導入も必須の状況です。
（例えば、富士通がサービスとして提供している「脆弱性診断・管理サービス」では、こうした自動診断／通知が可能です。）

さらには、セキュリティ事故は発生するものという前提で、提供サービスや顧客保護に万全を期するための組織的な体制をしっかりと整備し、被害を最小限に抑えるための取り組みが大切であると考えます。

参考