Airpods

Equifaxハッキング事件から1週間:何が起こったのか、そして身を守るために何をすべきか

Equifaxハッキング事件から1週間:何が起こったのか、そして身を守るために何をすべきか
(写真はShutterstockより)

届いているメールから、そして正直に言うと、友人からの電話や教会で呼び止められたことからも、先週のEquifaxハッキング事件について、皆さんはまだ多くの疑問をお持ちのようです。私も同じです。Equifaxはまだ十分な回答を提供していないため、思うようにお役に立てていません。また、同社の当初の対応のまずさがさらなる混乱を招き、まだすべてが解決したわけではありません。それでも、現状と皆さんがすべきことを簡単にまとめました。

また、何が起こったのですか?

全米三大信用調査会社の一つ、エキファックスは、ハッカーが最大1億4300万人のアメリカ人の個人情報を盗んだと発表した。盗まれた情報はまさに宝の山だ。社会保障番号、氏名、住所、そして場合によっては運転免許証まで盗まれたという。

Equifaxは、自分の情報が盗まれたかどうかを確認するためにウェブサイトにアクセスするように言っています。確認すべきでしょうか?

おそらくそうでしょう。でも、ウェブサイトには多くの問題があり、今のところあまり役に立たないので、必要ありません。むしろ、待つほうがいいでしょう。信用情報を持つ成人の4分の3がおそらく被害者ですから、データが盗まれたと仮定して、今後の指示を待つのが良いでしょう。

そのウェブサイトは詐欺だと聞きました。もしそれを利用すると、Equifaxを訴える権利を放棄することになるそうです。本当ですか?

それはおそらく真実ではないでしょうが、多くの真実が含まれています。そのサイトでは、Equifaxは被害者に対し、同社が所有する無料のID盗難サービスに登録する機会を提供しています。そのサービスの利用規約には、紛争が発生した場合にユーザーが同社に対する集団訴訟に参加する権利を放棄することを義務付ける、今や悪名高い「詐欺条項」が含まれています。これは、多くの標準契約書に記載されている典型的な強制仲裁条項であり、米国企業の悪しき習慣であり、消費者擁護団体はこれを排除しようとしています。抗議を受けて、Equifaxは「詐欺条項はハッキング被害者には適用されない」という声明を発表し、最終的にその旨を明記するように利用規約を変更しました。とはいえ、仲裁条項は連邦裁判所(最高裁判所も)によって非常に広範に解釈されているため、裁判官にこの点について判断する機会を与えたくはありません。

それでも、ハッキングされたかどうかを確認するには、Web サイトにアクセスする必要がありますか?

いいえ、そうは思いません。どうやらそのウェブサイトは何もしていないようです。当初、ユーザーからは「ハッキングされた可能性があります」といった曖昧な回答と、後でもう一度サイトにアクセスするようにというメッセージが表示されたという報告がありました。その後、有能なプログラマーが123-456のようなダミーデータをサイトに入力し始め、不安定な回答が返ってきました。  このサイトは、ユーザーに雑用をさせるだけのプレースホルダーで、何もチェックしていない可能性も十分に考えられます。

このサイトは機能しないと聞きました。本当ですか?

上記を参照してください。よく分かりませんが、あまり良くないようです。少なくとも1人から、正しい情報を複数回入力したにもかかわらず、異なる回答が返ってきたという話を聞いたことがあります。つまり、ランダムな回答を生成しているのかもしれません。Equifaxからより多くの回答が得られるまでは、使用をお勧めできません。

でも、そうするとEquifaxの無料サービスが使えなくなってしまうので、登録した方がいいのでしょうか?

EquifaxのTrusted ID Premierサービスに最終的に加入するのは、おそらく悪い考えではないでしょうが、急ぐ必要はありません。一方、このサービスがあなたに提供してくれるものはそれほど多くありません。これには、信用情報監視(その価値は疑わしい)と信用情報レポート(既に無料)、オンラインに投稿された社会保障番号の監視(ダークウェブは実際にどれだけスキャンされているのだろうか?)、保険(既に加入している可能性もある)、そして信用情報レポートの「ロック」(被害に遭った今、ほとんどの州では凍結は無料のはずです)が含まれます。

誰がこれをしたのですか?

誰がデータを盗んだのかは分かりません。それが非常に重要です。なぜなら、誰がデータを盗んだのかを知ることで、次に何をすべきか賢明な判断ができるからです。大規模なID詐欺グループと繋がりのあるギャングだったのでしょうか?逃げて、信用情報に凍結措置を取ればいいのです。国家だったのでしょうか?政府職員は警戒を強めるべきです(おそらく既に被害を受けているでしょうが)。ドライブ中の子供だったのでしょうか?さて、その場合は最善の結果を祈るしかありません。もしかしたら、詐欺警告だけで十分かもしれません。私たちには分かりません。Equifaxは私たちに教えてくれるはずです。

さて、どうすればいいでしょうか?

まず、パニックにならないでください。あなたの個人情報は、おそらく既に漏洩しているでしょう。信用調査機関から社会保障番号が盗まれるのは、他のハッキング、例えばTargetでクレジットカードが盗まれるようなハッキングよりも確かにひどいように思えます。しかし、これまで通り、賢明な行動を続けてください。口座をこまめにチェックし、不審な郵便物には注意してください。政府機関やローン担当者とやり取りする際は、社会保障番号を他人と「共有」している兆候がないか注意深く見守ってください。そして、信用凍結を検討してください。

クレジット凍結を受けるべきでしょうか?

おそらくそうでしょう。凍結には多くの利点があります。特に、今後数年間はクレジットカードの申し込みをする必要がないような状況であればなおさらです。しかし、凍結は完璧ではありません。少し面倒なこともあります。州によっては費用がかかる場合もあります。また、すべてのID盗難を阻止できるわけではありません(例えば、誰かがあなたの名前で運転免許証を取得するのを防ぐことはできません)。

凍結に関して私が最も不満に思うのは、消費者がファイルの凍結に(各信用調査機関で1回ずつ、計3回)料金を支払わなければならないことが多く、さらに必要に応じて信用報告書を「解凍」するために料金を支払わなければならないことです。これは不公平です。そもそも信用報告書を要求したわけではありません。ハッキングされることを望んだわけでもありません。また、解凍の時期が来たとき(例えば、新しい車のローンを検討しているときなど)、報告書の凍結解除は面倒な場合があります。消費者は凍結を設定してそれを忘れ、数年後には解凍の方法を思い出せません。例えば、関連するPINコードを紛失することはよくあります。そして、そのような状況で解凍を実行するために料金を支払うのは大変なことです。つまり、これは本当に消費者フレンドリーではありません。それでも、もしあなたがすでに凍結を検討するタイプであるなら、今があなたを決心させる良い機会かもしれません。すべての指示が安全な場所に保管されていることを確認してください。

ファイルのクレジットを凍結するにはどうすればよいですか?

州によってルールが異なります。申し訳ありませんが、これはひどいシステムです。まずは、お住まいの州のルールをこちらでご確認ください。

次に、各信用調査機関の凍結ウェブサイトに直接アクセスします。「セキュリティ凍結」をGoogleで検索すると、凍結のように聞こえるものの実際にはそうではない様々なサービスがアップセルされる可能性があります。ご注意ください。対象となるサイトは以下のとおりです。

  • freeze.equifax.com/Freeze
  • エクスペリアン
  • freeze.transunion.com

残念ながら、凍結は無料ではありません。料金体系は実はかなり複雑で、州によって異なります。トランスユニオンは、非常に便利な州別料金表を提供しています (消費者のカテゴリーごとに異なる料金体系も含まれています)。

州別の料金表。(ボブ・サリバン撮影)

アップセルといえば、これはすべて Equifax によるマーケティング計画なのでしょうか?

全く疑わしい。あの会社の株価を見ればわかる。しかし、こんな時に鶏の残飯でチキンサラダを作ろうとする会社も、そうそうあることではないだろう。初期の報道によると、あの「無料」ID盗難サービスに登録した消費者はクレジットカード情報の入力を求められ、12ヶ月のサービス期間が過ぎると自動登録され、支払いを強制されると言われていたという。これは、かつての無料信用情報サービスでよく見られた手口のようだ。幸い、Equifaxは月曜日にこの点を「明確化」し、クレジットカードは不要で、被害者は自動登録されないと発表している。同社がこのような明確化を行わなければならなかったのは、ある意味驚くべきことではないだろうか。

現在は次のように記載されています。「米国のすべての消費者に提供している無料の信用情報ファイル監視および個人情報盗難保護サービスにご登録いただく際に、クレジットカード情報をお伺いすることはありません。TrustedID Premierにご登録いただいた消費者は、TrustedID Premierの無料期間終了後、自動的に登録されたり、料金が請求されたりすることはありません。」

EquifaxSecurity2017.comというウェブサイトについてですが、本当に存在するのでしょうか?詐欺師のドメインのように見えます。

これは事実ですが、当初の設定が不十分だったため、一部の消費者が疑念を抱くことになったのは当然です。良いことです。しっかりとトレーニングを受けたようですね。しかし、社会保障番号9桁のうち6桁をサイトに入力しなければならないという要件には、やはり納得できません。あなたの電話番号全体に非常に近いからです。消費者にそのような手順を踏むようにトレーニングしているなんて、本当に残念です。次のフィッシング詐欺師がそのようなデータを要求しやすくなるでしょう。ですから、今回だけは絶対にやめてください。二度とこのようなことはしないでください。

この出来事がどのようにして起こったのか、さらに何か知っていますか? 

そうではありません。ある株式アナリストは、Apache Strutsというオープンソースソフトウェアの欠陥が原因だと指摘しました。アナリストは証拠を提示しませんでしたが、社内の情報源があると主張しました。Strutsは、他のソフトウェアと同様に、時折深刻な脆弱性を抱えています。技術的に言えば、今回の脆弱性は、ほんの数日前に(善意の人たちによって)「発見」されたという点で興味深いものです。つまり、ハッカーがこれまで知られていなかったソフトウェアの欠陥を利用して、このすべてのデータを盗んだ可能性があります。そうであれば、Equifaxの責任はいくらか軽減されるでしょう。一方で、今年初めに発表された別の欠陥が原因だった可能性もあり、そうなるとEquifaxにとってより悪い印象を与えることになります。しかし、サーバーのログを見た人だけが真相を知っているので、私はこのように外部から推測することにあまり乗り気ではありません。

詳しくはZDNetをご覧ください。Apacheのさらに詳しい情報もご覧ください。