米国で起きた「史上最悪の個人情報漏洩」は、対岸の火事ではない。信用情報大手エクイファクスを狙った攻撃手法は、日本でも猛威を振るった。日本も個人情報の流通を目指すのなら、米国から学ぶべき教訓はまだある。

シリコンバレー支局 中田 敦
1998年、日経BP社入社。日経コンピュータやITproの記者として、クラウドやビッグデータ、人工知能を担当。2015年4月からシリコンバレー支局長。
1億4300万人の個人情報を漏洩させた (写真=ロイター/アフロ)

 米エクイファクスが2017年9月7日、米国民の4割に相当する1億4300万人分の個人情報を漏洩させたと発表した。同社はクレジットカード会社から消費者の利用履歴を集め、消費者の与信情報を金融機関に提供する信用情報機関だ。情報漏洩を公表する前に同社の幹部が自社株を売却した容疑で米司法当局が調査を進める。

 エクイファクスが利用する「アパッチ・ストラッツ」というソフトに存在した「CVE-2017-5638」という脆弱性をハッカーが悪用して侵入したという。この脆弱性が見つかったのは3月のこと。同社は情報が漏洩したことに気付く7月末まで、この脆弱性を放置していた。

 この脆弱性を狙った攻撃は今春、日本でも猛威を振るった。東京都の都税支払いサイトやプロバスケットボールリーグ「B.LEAGUE」のチケット販売サイトが攻撃を受け、数万~数十万件のクレジットカード情報が漏洩した。