ギャンブルサイトPaddy Powerでデータ侵害: その功罪と対処法

マクシム スチープカ エンジニアリング担当上級副社長

Paddy Power Data Breach

皆様多くの方が先週ニュースでご覧になったように、大手ブックメーカーWilliam Hill社とPaddy Power社の合併のニュースが出たわずか3日後、7月31日にPaddy Power社が約65万件(正確には64万9055件)の顧客のデータ漏洩が2010年に起きていたことを発表しました。私がテレグラフ紙に掲載したコメントのとおり、このようなハッカー行為はほとんどの場合個人情報を使った詐欺行為へ繋がると述べました。

このデータ侵害について詳しくみてみましょう。セキュリティ“事故”の観点から、そしてこの事件がどう扱われたかという観点から。

良いことは...

すべてへのアクセスを得ようとするハッカー行為の試みは世界中で毎日毎秒起きています - 公に利用可能なウェブサイトから、個人宅のルーターに至るまで。ちょうど今週には、私の自宅のルーターに対して25の違ったIPから攻撃しようとした形跡がありました!こうした攻撃の試みの大部分は気づかないうちに行われていますが – Paddy Power社の場合はこの攻撃の試みに気づいていたのです。

データ侵害の成功例について詳細に調査された例が多いわけではありませんが、Paddy Power社の場合は会社がデータ侵害を調査しました。そして、データ侵害の成功例の多くが公開されない中、Paddy Power社の場合はデータ侵害の報告を行ったのです。これは、すばらしいことです。

しかし悪いことは

データ侵害を報告した直後より、悪い方向に進んでしまいました。

第一に、報告のタイミング(4年後!)が意味するのは、漏洩した個人情報にはいかなることも起こり得ただろうということです。ActionFraudウェブサイトによりますと、個人情報を使った詐欺被害者数はイギリスだけでも400万人にのぼります。1人あたり平均1,190ポンド(約210,000円)の被害にあい、9,000ポンド(160万円)もの被害にあった方もいます。現在のイギリスの総人口が6,400万人ですから、実に16人に1人が被害にあっていることになります。これと同じ比率を漏洩した記録の数に照らし合わせると、データ侵害が起きたと同時の公表がなぜ不可避であるかが容易に理解できます。

顧客の財政情報が漏洩していないとしても、そして現在のイギリスの法律下ではこうした場合に財政的に責任を取らなけばならないとは規定していないにしても、(最近起きたイギリスのオンライン旅行会社Think W3社で起きた漏洩事件はこの限りではありません。PCI DSS(Payment Card Industry Data Security Standard)基準が侵害され、会社には罰金が科されました。)今後行われる予定のEUの法的枠組みに関する改革で、新しいEUデータ保護規定(Data Protection Regulation)は報告プロセスを変更する予定になっています。新しい規定では、データ侵害を受けた会社は速やかにデータ侵害報告を行はなければならない規定が盛り込まれます。欧州委員会市民の自由委員会では、提案した規制に従わない会社に対して全世界年間売上高の最高5%または100万ユーロにおよぶ罰金を科すことが提案されています。公のインターネットで活動する個人や組織がコンプライアンスを侵害した場合にも訴訟が起こされる可能もあります。

今回の事件の報道によりますと、今年初めに「第三者」から指摘されて初めて公になったということです。5月には「カナダの誰か」が攻撃によって「大きな情報データベース」を盗まれたということです。これから得られる結論は、Paddy Power社はその時(2010年当時)には、顧客の機密情報 ― 氏名、住所、生年月日や母親の旧姓でさえ ― が悪意を持つ者の手に渡ってしまったという事実をシェアすることが大事だとは感じていなかったのです。そしてそれが疑いようもなく、今後も会社の信用を傷つけることになろうとは思ってもいなかったのです。財政面および、会社の信用という面でデータ漏洩によって企業が被る被害の大きさについては米国の小売業者Target社の最近の事例を見る必要があります。

データ侵害を公表した後、会社の出した声明にはこうあります…「当社は現行のセキュリティシステムには自信を持っており、今後も投資を続けてベストな脆弱性の管理、ソフトウェアセキュリティとインフラを築いてまいります。」

この声明のトーンが意味することは、必要なソリューションが購入されたとしても、導入に際してソリューションが効力を発揮するようにする、強制的なプロセスとポリシーの状況については何も知らないということです。PCI DSS基準の侵害が起こった際に、規制作成者は概して実際的であり、影響を受けた企業が必要なセキュリティソリューションを購入し、しっかりした導入計画を確実に約束するようにします。実際導入部分は、ソリューションの購入よりもはるかに難しい部分ではありますが、Paddy Power社の事件において果たして実行されていたのかは知る由もありません。

対処法

データ侵害に影響を受ける方は結果的には少数です。ですが、私は次の3つのことをお勧めします。

  1. Experian社のProtectMyIDや、Equifax社のIdentity Watchといった詐欺検知モニターソリューションを入手すること。こうしたソリューションは実際に財政的な損失を被ったとしても保護してはくれません。(この際の責任はあなたと、FCA(英金融行動監視機構)が定めた金融会社との間でシェアされます。)しかし、あなたのアイデンティティに関してのローンの申請書や他の活動が起こった際に警告し、そうした活動をさらに調査するのを可能にしてくれるでしょう。中にはあなたの信用格付けを元に戻すのに貢献してくれるソリューションすらあります。

  2. 母親の旧姓をさらにもう一つのパスワードとして取り扱うこと。母親の旧姓を尋ねられたとしても、そのまま使う必要はありません。-覚えていられる他のどのパスワードでも使えるのです。そのパスワードはその組織特有のものとしてする方がよいでしょう。たとえば、時々人は組織の名前を「母親の旧姓」へとはめ込んでしまいます。同じルールは、尋ねられる他のどの「セキュリティ質問」にも適用されます。

  3. 通信のやりとりや声明すべてを注意深くモニターすること。異常な活動に気づいたら、ぐずぐずしてはいけません。調査し、金融機関に注意を促し、さらなる調査を粘り強く要求するのです。

事故が起きた直後にさらなる透明性が必要だったこと以外に、どうしたらPaddy Power社はもっとうまく振舞えたのでしょうか。簡単です。- たとえば情報が流出した顧客の個人情報盗難保険を含む1年間の無料でのクレジットのモニタリングーこれはデータ侵害が起こった時点でTarget社が取った方策ですが、こうした方策を取っていれば、顧客との信頼関係の再構築への長い道のりの第一歩となったことでしょう。