概要
- 2017 年 3 月 7 日、Apache は Struts の重大な脆弱性を公表し、修正バージョンを提供した。Equifax は 48 時間以内のパッチ適用指示を回覧したが、オンライン紛争ポータルは脆弱なままだった。同社は信頼できるインベントリを持たず、適切なアプリケーション所有者に連絡・拘束せず、不十分なスキャン結果を露出がない証拠と見なしたためである。
- 攻撃者がポータルを通じて侵入すると、弱いセグメンテーション、広範に使用可能な資格情報、不十分なデータガバナンスが事態を拡大させた。暗号化トラフィック検査経路での証明書障害が 7 月下旬まで検出を遅らせた。したがって、この侵害はインシデント対応のテストとなる前に、経営陣の説明責任のテストとなった。
- 法的記録はステータスごとに区別されなければならない。議会および GAO の報告書はコントロールの失敗を説明し、FTC の訴状は疑惑を述べ、2018 年の州および 2019 年の連邦命令は同意義務を課し、刑事起訴状は攻撃者の行為を主張し、消費者和解はすべての争点を解決する裁判所の認定なしに承認された。
- 取締役会にとっての永続的な教訓は証拠に基づくものである。ポリシーの期限、一斉メール、スキャナー結果、ダッシュボードの色はクロージャではない。取締役は、重要な資産が把握され、指名された所有者が作業を引き受け、修復が独立して検証され、例外が時間制限付きで管理され、機密データへの残存経路が制約されていることの証明を必要とする。
本侵害は単一のパッチ未適用ではなく、一連のコントロールの失敗であった
Equifax 侵害の最も短い説明は正確だが不完全である。同社はインターネットに面した Apache Struts の脆弱性にパッチを適用せず、攻撃者がそれを悪用し、約 1 億 4,700 万人の個人情報が盗まれた。この説明は侵入経路を特定している。しかし、公的な勧告、ベンダーによる修正、社内の重大警告、そして 48 時間の期限が設定されていたにもかかわらず、主要な消費者信用情報機関が何ヶ月も脆弱なままだった理由を説明していない。
より完全な記録は一連の流れを示している。Apache がリモートコード実行の重大な問題を公表し、修正済み Struts リリースを推奨した。Equifax は警告を受け、社内指示を送信した。その指示はクローズドループの所有者を確立しなかった。同社は、影響を受けるソフトウェアが稼働している場所の信頼できるインベントリを欠いていた。スキャンは脆弱なコンポーネントを発見するのに十分な深さまで行われなかった。検出がないことは、露出がないこととして扱われた。インターネットに面した紛争アプリケーションの手動レビューを強制する補償的コントロールも存在しなかった。後に攻撃者が侵入したとき、そのアプリケーションは機能に必要な範囲を超えてシステムにアクセスできた。アクセス可能なファイル共有内の認証情報が広範な移動を可能にした。機密データは十分に制約されていなかった。監視経路上の証明書が期限切れだったため、暗号化トラフィックは検査されていなかった。その証明書が交換された後に初めて検出が行われた。
このため、この侵害は単なるパッチ管理のケースではなく、取締役会の説明責任のケースであり続けている。パッチはソフトウェアの成果物である。パッチ保証はマネジメントシステムである。それはインベントリ、所有権、エスカレーション、変更の実行、検証、例外処理、監視、アーキテクチャ、そして証拠に依存する。これらの機能のいくつかが同じ方向に失敗すると、組織はプロセスの可視的な部分を遵守しながらも、実質的に露出したままであり得る。
公開記録は強力だが均一ではない。下院監視・政府改革委員会多数派スタッフ報告書および上院常設調査小委員会スタッフ報告書は立法調査であり、司法判断ではない。政府説明責任局(GAO)のレビューは、Equifax やフォレンジック資料、連邦顧客機関から得た情報に基づいている。FTC 訴状は訴訟において提出された申し立てを含む。同社の SEC 提出書類は経営陣の説明と財務開示を含む。同意命令は、定義された法的立場を維持しつつ義務を述べる。本稿では、各情報源をそれが立証できることに使用し、それらのカテゴリーを単一の判断に統合しない。
勧告から侵害までのタイムライン
タイムラインは、説明責任が時間とともに変化するために重要である。企業が影響を受けるシステムを特定し、修正をテストし、展開するために短期間を必要とするのは合理的である。しかし、重大な問題がリモートで悪用可能であることが知られており、ベンダー修正が利用可能であり、システムがインターネットに露出しており、会社自体が 48 時間の対応期限を課している場合、その防御は弱まる。
| 日付 | 出来事と説明責任上の意義 |
|---|---|
| 2017 年 3 月 7 日 | Apache が CVE-2017-5638 に関するセキュリティ速報 S2-045 を公開し、クリティカルと評価し、修正済み Struts バージョンへのアップグレードを推奨した。 |
| 3 月 8 日 | US-CERT が議会報告書によると、Equifax にこの脆弱性について警告した。 |
| 3 月 9 日 | Equifax のグローバル脅威脆弱性管理チームが、影響を受けるシステムに 48 時間以内のパッチ適用を指示する回覧を送付した。配布と確認のプロセスは、すべての責任ある所有者がタスクを受け取り、承諾したことを確立しなかった。 |
| 3 月 10 日 | 下院報告書は、後のフォレンジックレビューによって発見された最初の悪用関連活動の証拠を特定している。これは Equifax による侵害の同時発見ではない。 |
| 3 月 15 日 | Equifax は脆弱な Struts インスタンスを発見するためのスキャンを実施した。その結果、インターネットに面した脆弱なシステムは検出されなかったが、スキャンは紛争ポータル内のコンポーネントを含むサブディレクトリに到達しなかった。 |
| 3 月 16 日 | 脅威と脆弱性に関する会議でこの脆弱性が議論された。ポータルは依然として特定・パッチ適用されなかった。 |
| 5 月 13 日 | 下院および上院の報告書は、攻撃者が自動消費者インタビューシステム(ACIS)に侵入した日をこの日としている。Web シェルが持続的なリモートアクセスを提供した。 |
| 5 月 13 日〜7 月 29/30 日 | 攻撃者はデータベースにクエリを実行し、データを抽出しながら検出されなかった。下院報告書は 76 日間の攻撃期間を説明している。 |
| 7 月 29 日 | Equifax は ACIS トラフィック監視経路で使用される期限切れ証明書を交換した。不審なトラフィックがほぼ即座に可視化され、ブロックされた。 |
| 7 月 30 日 | 追加の不審なトラフィックが出現した。Equifax は ACIS ポータルをオフラインにし、報告書に記載されたアクティブなアクセスを終了させた。 |
| 7 月 31 日 | Equifax 担当者は、個人識別情報が削除された可能性があると結論付けた。CIO が当時の CEO リチャード・スミスにインシデントを通知した。 |
| 8 月 2 日 | Equifax は外部弁護士と Mandiant を雇い、FBI に通報した。 |
| 8 月 11 日〜24 日 | フォレンジック調査は、大量の個人情報を含むデータベースへの懸念から、かなりの量のデータにアクセスされたことが確認されるに至った。 |
| 8 月 24 日〜25 日 | 下院タイムラインによると、スミスは電話で取締役会全体に通知した。 |
| 9 月 4 日 | Equifax と Mandiant は、約 1 億 4,300 万人の影響を受けた米国消費者の初期リストをまとめた。 |
| 9 月 7 日 | Equifax はフォーム 8-K の添付書類を通じてインシデントを公表し、専用の対応 Web サイトとコールセンターを立ち上げた。 |
| 9 月 15 日〜26 日 | CIO と最高セキュリティ責任者が退職を発表し、続いてスミスが会長兼 CEO を退任した。 |
| 10 月 2 日 | Equifax は、特定された米国人口が 250 万人増加したと発表した。パッチ警告の転送失敗に関連して、上級技術幹部が解雇された。 |
| 2018 年 3 月 1 日 | Equifax は、名前と運転免許証情報の一部が盗まれたさらに 240 万人の米国消費者を特定し、一般に報告される総数は約 1 億 4,790 万人となった。 |
この数値は、影響を受ける人口が時間とともに精緻化され、一部の文書が総数を丸めているため、記録によって異なる。Equifax の2017 年 9 月 7 日の SEC 提出発表では、約 1 億 4,300 万人の米国消費者が影響を受け、5 月中旬から 7 月までの不正アクセスがあったと述べられている。後の記録は一般に約 1 億 4,700 万人を使用し、下院報告書は 1 億 4,800 万人に丸めている。責任ある結論は、ある数字が他を無効にするということではない。それは、開示時点では範囲が暫定的であり、分析が進むにつれて拡大したということである。
3 月 7 日:利用可能な修正を伴う重大なベンダー通知
脆弱性自体は、不明瞭でも修正なしに提示されたものでもなかった。Apache S2-045 速報は、Jakarta Multipart パーサーを介したファイルアップロード中のリモートコード実行の可能性を説明し、最大のクリティカル評価を割り当て、影響を受ける Struts ブランチを特定し、2.3.32 または 2.5.10.1 へのアップグレードを推奨した。また、回避策のオプションも提供した。CVE-2017-5638 の国家脆弱性データベースエントリは、攻撃者が制御する HTTP ヘッダーが欠陥のある例外およびエラーメッセージ処理に到達することを説明し、CVSS 3.1 ベーススコア 9.8 のクリティカルを記録している。
開示日と NVD 公開日の区別は維持する価値がある。Apache の速報と修正バージョンは 3 月 7 日に利用可能だった。NVD は公開日を 3 月 10 日としている。議会の年表は、ベンダー開示と Equifax が受け取った US-CERT 通信に依存している。したがって、インシデントをレビューする取締役会は、すべての下流データベースが公開サイクルを完了した時期ではなく、行動可能なベンダー修正が会社のプロセスに入った時期を問うべきである。
Equifax は実際に対応した。セキュリティチームは 3 月 9 日に広範な内部メッセージを送信し、影響を受ける担当者に 48 時間以内のパッチ適用を指示した。この行動は、同社が勧告を完全に無視したという主張に反論する。また、それは中央のコントロールの弱点も明らかにする。指示のブロードキャストが実行のメカニズムとして扱われたのである。
FTC の申し立てによると、400 人以上の従業員が重要なパッチ配布プロセスに含まれていたが、ポリシーは受信者に指示の確認や適用の確認を要求していなかった。議会調査は、より具体的なルーティングの失敗を追加している。ACIS の責任開発者は警告リストに含まれておらず、そのチェーンの上級管理者は通知を受け取ったが、開発者またはチームに転送しなかった。Equifax は後に、メールの転送失敗を理由に上級幹部を解雇した。この人事措置は一つの失敗に対処したが、重要なコントロールが単一の転送ステップに依存していた理由には答えなかった。
防御可能な緊急パッチプロセスは、勧告をアカウンタブルなレジスターに変換するはずである。影響を受ける製品とバージョン、外部から到達可能なインスタンス、ビジネスオーナー、テクニカルオーナー、リスクティア、要求される完了時間、変更記録、検証方法、例外権限、補償コントロール、そして未解決のフィールドがある場合のエスカレーション。Equifax のプロセスには期限があったが、信頼できるクロージャの証拠が欠けていた。したがって、48 時間ルールはポリシーとして存在したが、信頼できる結果にはならなかった。
資産インベントリが最初の欠落したコントロール
ACIS を影響を受けるものとして特定できなかったことは、管理された環境での予見不可能なスキャン異常ではなかった。Equifax 自身の 2015 年のパッチ管理監査は、後に侵害の中心となる弱点を特定していた。上院報告書によると、その監査では、同社がパッチスケジュールに従っておらず、事後対応型のパッチプロセスを使用しており、インストールを保証しない「honor system」を使用しており、包括的な IT 資産インベントリを欠いていることが判明した。また、2017 年 8 月までに正式なフォローアップ監査が完了しておらず、インタビュー対象者は在任中に他のパッチ管理監査を思い出せなかったと述べている。
下院報告書は、インベントリのギャップがもたらす実際的な結果を再現している。正確な資産リストとネットワーク文書がなければ、システムがパッチ適用され、設定され、スキャンされていることを確認することが困難だった。報告書は、2015 年の改善計画の推定完了日が 2017 年 6 月 30 日であったと述べている。侵害時点では、上院調査は包括的なインベントリがまだ整備されていなかったことを発見した。
この文脈でのインベントリとは、サーバーのリスト以上のものを意味する。CVE-2017-5638 はアプリケーション内に埋め込まれたソフトウェアフレームワークに影響を与えた。有用なインベントリは、インターネットに面したアプリケーションを、それらのランタイムコンポーネント、バージョン、所有者、データアクセス、依存関係、展開場所に結び付ける必要があった。ハードウェア台帳は、ACIS サーバーが存在することを示すことはできても、脆弱な Struts ライブラリがその内部にあることを明らかにすることはできなかった。コントロール目標は、機器の会計ではなく、ソフトウェアとサービスの可視性だった。
レガシーの複雑さがその作業をより困難にし、より重要にした。下院報告書は、ACIS を 1970 年代にルーツを持つカスタム構築システムであり、長年の買収と成長によって形成された複雑な環境で動作していると説明している。複雑さは、インベントリがコストがかかり不完全である理由を説明できる。それは、機密性の高い消費者データに接続するインターネットに面したアプリケーションで何が実行されているかを知ることの例外として、安全に機能することはできない。完全な発見がまだ不可能な場合、補償的な対応は、より強力な分離、より厳格な出力制御、手動コードおよび構成レビュー、または外部アクセスからの一時的な削除であるべきである。
上院報告書の比較は有用だが、誇張すべきではない。それによると、TransUnion と Experian も Struts 勧告に直面し、インベントリと複数のスキャンまたはレビュー手法を使用して、影響を受けるインスタンスを特定または緩和した。これは、それらの全体的なセキュリティプログラムが完璧だったことを証明するものではない。Equifax の結果が脆弱性の不可避な特性ではなかったことを示している。同じ公的な通知に直面した同業他社が、実質的に異なる運用結果に至ったのである。
取締役会の目的のためには、インベントリ問題はリスクカバレッジの声明として組み立てられるべきである。「ネットワークをスキャンしました」は、分母なしでは意味を持たない。取締役は、外部から到達可能なサービスの何パーセントがインベントリに表れているか、何パーセントに指名された所有者がいるか、どの程度のソフトウェア構成が把握されているか、どのレガシーシステムを自動的に評価できないか、例外がどのように隔離されているかを知る必要がある。未知の資産に対するスキャンは、活動を生み出すが、保証を生み出さない。
スキャンの失敗が不確実性を誤った確信に変換した
3 月 15 日、Equifax は Struts 問題に脆弱なシステムを特定するために自動スキャンを実行した。それは何も発見しなかった。下院報告書は、スキャナーがルートディレクトリ上で動作し、Struts がリストされていたサブディレクトリをクロールしなかったと述べている。上院報告書も同様に、ツールの繰り返し使用が適切なネットワークレベルで検索しなかったと述べている。FTC 訴状は、スキャナーがすべての潜在的に脆弱な資産を検索するように設定されておらず、Equifax はスキャナーをどこで実行する必要があるかを知る正確なインベントリを欠いていたと主張している。
これらの記録のいずれも、脆弱性スキャナーが本質的に無効であることを立証していない。それは、より狭く、より結果的な点を立証している。否定的な結果は、テスト範囲とツール能力との関係においてのみ価値がある。影響を受けるコンポーネントがスキャナーの検索深度の下に位置する場合、「脆弱性は見つかりませんでした」は「この設定と範囲内では脆弱性は見つかりませんでした」を意味する。「脆弱性は存在しません」を意味するのではない。
この区別は監査言語では基本的だが、管理報告ではしばしば失われる。赤い発見は作業を駆り立てる。緑の結果は作業を閉じる。緑が不完全な範囲によって生成され得る場合、ダッシュボードは無知に報いる。検証されていない否定的な結果の正しい扱いは、残留不確実性である。インターネットに面したサービス上の重大でリモートで悪用可能な問題の場合、その不確実性は 2 番目の方法をトリガーするはずである。認証されたスキャン、ソフトウェア構成分析、ソースおよびビルドレビュー、プロセス検査、パッケージ検索、証拠に裏付けられた所有者の証明、または制御された環境での直接的なアプリケーションテストなどである。
2 番目の方法の欠如は、パッチ指令自体がクローズドループではなかったために重要だった。直接のアプリケーション責任を持つ従業員は指示を受け取っておらず、中央のインベントリは不完全であり、スキャナーはネストされたコンポーネントを見逃す可能性があった。これらは独立したセーフガードではなかった。それらは同じ盲点を共有する 3 つのコントロールだった。それぞれがアプリケーションの所有権と構成の正確な知識に依存していた。したがって、それらの見かけの冗長性は見かけよりも弱かった。
これは取締役会にとって繰り返し発生する問題である。経営陣は、複数のコントロールが同じ理由で失敗するかどうかをテストせずに、それらを層として提示するかもしれない。資産データベース、メール配布リスト、脆弱性スキャナー、パッチダッシュボードはすべて、同じ不完全な所有権レコードから派生している可能性がある。そのレコードがレガシーアプリケーションを省略している場合、4 つのコントロールすべてが一緒に成功を報告することができる。取締役会のリスクレビューは、いくつのコントロールが存在するかだけでなく、それらのデータソースと故障モードが独立しているかどうかを問うべきである。
5 月 13 日から 7 月 30 日:侵入ポイントがデータアクセス経路となった
議会報告書は、攻撃者の ACIS への効果的な侵入を 5 月 13 日としている。後の司法省の起訴発表は、中国の人民解放軍のメンバー4 名を侵入で起訴した。起訴状は、被告が Struts を悪用し、偵察を行い、認証情報を取得し、データベースにクエリを実行し、盗んだファイルを圧縮・分割し、複数国にわたるインフラを通じてトラフィックをルーティングし、痕跡を消去しようとしたと主張している。これらは刑事起訴文書における主張であり、被告は有罪が証明されるまで無罪と推定される。起訴状は、攻撃者に帰属する行為に関連するものであり、主張を確定された事実に変換するものではない。
下院報告書は、攻撃者が Web シェルをインストールし、侵害されたシステムを制御するための永続的な Web ベースの手段を得たと述べている。その後、彼らは暗号化されていないユーザー名とパスワードを含むファイルを発見した。ACIS はビジネス目的で 3 つのデータベースへのアクセスを必要としたが、無関係なデータベースからセグメント化されていなかった。認証情報を使用して、攻撃者は 48 のデータベースに到達し、約 9,000 のクエリを送信し、数百回にわたって暗号化されていない個人情報を見つけた。
FTC 訴状は同じアーキテクチャのポイントを申し立ての形で提起している。不十分なセグメンテーションのために、攻撃者は数十の無関係なデータベースを横断できたとし、ACIS に接続された安全でないファイル共有には平文の管理者認証情報が含まれていたとしている。FTC は、攻撃者がネットワークを横断するために複雑なツールを必要としなかったと主張している。これは重要な点である。なぜなら、エントリ脆弱性の重大度は、侵害されたアプリケーションが侵入後に何に到達できるかの関数でもあるからだ。
セグメンテーションはしばしば技術的な詳細として説明されるが、それは爆発半径に関する経営判断を表現している。インターネットに面した紛争ポータルは、紛争処理に必要なネットワーク経路、データベース権限、ファイルアクセスのみを持つべきである。3 つのデータベースが必要な場合、そこで取得された認証情報がさらに数十を開くことを可能にする設計には負担がかかるべきである。コントロールは、公開アプリケーションが最終的に侵害される可能性があると想定し、そのイベントが広範な機関アクセスになるのを防ぐべきである。
認証情報は同じ境界の一部である。再利用可能な管理者認証情報をアクセス可能な共有に平文で保存することは、アプリケーションの侵害とデータベース管理の間の分離を崩壊させる。より強力なプラクティスは、サービス ID を分離し、各 ID を定義されたリソースとアクションに制限し、管理されたシークレットストレージを使用し、認証情報をローテーションし、特権的な使用を監視し、アプリケーションアカウントが無関係なデータストアを列挙するのを防ぐことである。記録は、どの最新ツールが各ステップを阻止したであろうかを発明することを支持していない。それは、広範な認証情報とフラットなリーチがインシデントを増幅したという結論を支持している。
データガバナンスは最後の乗数を提供した。FTC 訴状は、Equifax が大量の社会保障番号と支払いカード情報を平文で保存し、機密情報をビジネスニーズを超えてアクセス可能な開発およびテスト環境にコピーしたと主張している。GAO は、Equifax 自身のインシデント後の分析を、特定、検出、データベースへのアクセスのセグメンテーション、およびデータガバナンスという 4 つの促進要因として要約した。この定式化は、イベントをパッチ適用に還元するよりも有用である。特定は露出の持続を可能にした。検出は活動の継続を可能にした。セグメンテーションは拡大を可能にした。データガバナンスは、何が盗まれ得、それがどれほど価値があるかを増加させた。
期限切れ証明書は監視コントロールの失敗だった
暗号化トラフィック検査も、設計上は存在したが運用上は失敗したコントロールだった。ACIS の監視デバイスは、関連するトラフィックを復号して検査するために有効な証明書を必要とした。証明書は期限切れだった。Equifax が広範な証明書作業の一環として 7 月 29 日にそれを交換すると、セキュリティチームはほぼ即座に不審なアウトバウンドトラフィックを観測した。不審な宛先はブロックされ、翌日関連トラフィックが出現し、ACIS はオフラインにされた。
公開記録は期間について一致しておらず、その不一致は可視化されたままであるべきである。上院報告書は、ポータル関連の証明書が交換の約 8 か月前の 2016 年 11 月に期限切れになったと述べている。FTC 訴状は、発見の少なくとも 10 か月前に期限切れになったと主張している。下院報告書は、期限切れ証明書のために監視デバイスが 19 か月間非アクティブであったと述べている。これらは、基礎となる記録における異なるベースライン、デバイス、または説明を反映している可能性がある。健全な結論は、検査が何ヶ月も損なわれていたことであり、ある期間が留保なく主張できるということではない。
下院報告書は規模を追加する。300 以上のセキュリティ証明書が期限切れになっており、そのうち 79 はビジネスクリティカルなドメインの監視に関連していた。上院報告書は、証明書の責任が個別に管理されており、集中化されたライフサイクルプログラムはまだ実装中だったと説明している。これは単に 1 人のオペレーターが見落とした日付ではなかった。組織が、資産全体にわたる信頼できる証明書の発見、所有権、更新、および障害警告をまだ持っていなかった証拠だった。
証明書管理は、パッチ適用と同じ保証チェーンに属する。どちらも、既知の有効期限または脆弱性状態を持つ資産、指名された所有者、期限、可能な場合は自動化された更新または修復、およびアクションが完了しない場合のエスカレーションを伴う。どちらも危険なサイレント障害を生み出す可能性がある。公開証明書が期限切れの Web サービスは、ユーザーがエラーを目にするため可視的である。監視経路内の期限切れ証明書はより悪くなる可能性がある。サービスは動作しているように見えるが、防御側は可視性を失う。
交換後のほぼ即時の検出は特に重要である。それは、証明書が最新のままであったなら、以前のすべての悪意のあるリクエストが検出されたであろうことを証明するものではない。Equifax が既に所有していたコントロールが、復元されるや否や有用な証拠を生成したことを示している。したがって、監視技術への投資だけでは十分ではなかった。運用保守がその投資が機能したかどうかを決定した。
発見は決定的であり、開示は 2 番目の運用テストだった
不審なトラフィックが可視化されると、Equifax は迅速に行動し、宛先をブロックし、調査し、ACIS をオフラインにした。同社は上級技術者およびセキュリティリーダーに通知し、外部弁護士と Mandiant を雇い、FBI に連絡し、個人情報が削除されたかどうかの判断を開始した。記録のこの部分は、以前の失敗によって消去されるべきではない。7 月 29 日以降のインシデント封じ込めは、3 月 7 日以降の脆弱性クロージャよりも実質的に速く動いた。
発見と公表の間の遅延には文脈が必要である。Equifax は 7 月 29 日に影響を受ける人口を知らなかった。Mandiant の作業は、複雑な環境全体でアクセスを再構築し、データ型を特定し、影響を受ける個人を特定する必要があった。下院タイムラインによると、調査は 8 月 11 日までに大量の個人情報を含むテーブルを特定し、8 月 24 日までに重要なアクセスを確認し、9 月 4 日までに 1 億 4,300 万人の米国消費者の初期リストを完成させた。公表は 9 月 7 日に続いた。
この一連の流れは、エスカレーションに関する疑問を排除するものではない。下院報告書によると、CEO は 7 月 31 日に通知されたが、取締役会全体は 8 月 24-25 日に通知された。それは、「発見から 6 週間後」がそれ自体では違法な開示遅延の証明ではない理由を示している。法的義務は異なり、範囲はまだ確立されつつあった。公開記録における最も強い批判は、特定の開示法令に違反したという司法判断ではなく、対応準備態勢に関するものである。
Equifax Form 8-K の添付書類として提出された最初の発表は、犯罪者が米国の Web サイトアプリケーションの脆弱性を悪用したと述べ、影響を受けたデータのカテゴリを説明した。また、Equifax は中核的な消費者または商業信用報告データベースでの不正活動の証拠を発見していないとも述べた。その声明は、攻撃者が ACIS 外の多数のデータベースに到達したという後の発見と共存できる。「指名された中核システムに関する証拠はない」ということは、他のデータベースがアクセスされなかったという主張と同じではない。
消費者対応インフラは需要の下でうまく機能しなかった。下院報告書は、専用 Web サイトとコールセンターが直ちに過負荷になったことを発見した。消費者は、矛盾したまたは不完全な結果を受け取ったり、登録できなかったり、担当者に連絡できなかったりすることがあった。Equifax は、約 3 週間で個別の Web サイトを組み立て、約 1,500 人の臨時コールセンターエージェントを急速に追加した。この努力は相当なものだったが、その結果は継続性のギャップを露呈した。通常のモデルが主に企業間取引である企業は、国のほぼ半分に影響を与えるイベントに対して、消費者規模の危機対応能力を事前に構築していなかった。
別個のドメインも信頼の摩擦を生み出した。下院報告書は、Equifax のソーシャルメディアアカウントでさえ、従業員がアドレスの単語を逆にした後、セキュリティ研究者が作成した類似名のサイトに消費者を繰り返し誘導したと述べている。報告書には、その研究者が提出されたデータを盗んだという証拠はない。このエピソードが重要なのは、侵害コミュニケーションはフィッシングの曖昧さを減らすべきであり、作り出すべきではないからである。識別情報の提出を求める応答チャネルは、認証が容易であり、異常な負荷でテストされ、中心的な質問に答えられるスタッフによってサポートされるべきである。この人物は影響を受けたか?
公共部門の継続性は Equifax 自身のネットワークを超えて拡張した
この侵害は、Equifax の中核的信用報告システムの文書化された全国的な停止を引き起こさなかった。それでも、公共部門の継続性は中心的な問題である。連邦機関が本人確認のために Equifax を使用しており、盗まれた属性がリモート本人確認の前提を弱める可能性があるからである。
GAO は、内国歳入庁(IRS)、社会保障庁(SSA)、米国郵政公社(USPS)という 3 つの主要な Equifax 本人確認サービスの連邦顧客をレビューした。その2018 年報告書は、これらの機関が Equifax のコントロールを評価し、改善のための低レベルの技術的懸念を特定し、将来の侵害通知要件を含む契約を修正したと述べている。IRS の契約の 1 つは終了された。Equifax の2017 年 Form 10-Kも同様に、強化された精査、1 つの政府契約の停止、顧客によるセキュリティ監査、一部の契約またはプロジェクトの延期またはキャンセルを開示した。
継続性の問題は認識論的でもあった。機関は、個人の信用履歴の知識を、その人物が主張する本人であることの証拠として扱い続けることができるか?GAO の2019 年の連邦オンライン本人確認のレビューは、Equifax などの侵害で盗まれたデータが知識ベースの確認質問に回答するために使用される可能性があることを発見した。それは、NIST の 2017 年のガイダンスが、連邦機関が機密性の高いアプリケーションに知識ベースの確認を使用することを事実上禁止し、公共向けサービス全体で代替案を検討したことを指摘した。
これは異なる種類のサービス中断である。認証方法が信用を失う間、サーバーは利用可能であり続けることができる。その後、機関は契約を変更し、本人確認を再設計し、文書または対面チェックを追加するか、より高い不正リスクを受け入れる必要がある。これらの変更は、特に代替方法が前提とするデバイス、文書、接続性、または移動性を欠く人々にとって、給付やサービスへのアクセスに影響を与える。
したがって、データ仲介者の取締役会は、稼働時間を超えて継続性の義務をマッピングすべきである。機密性の障害は、顧客に統合を一時停止させる可能性がある。完全性の疑いは、データを意思決定に不適切にする可能性がある。ID データの露出は、下流の認証慣行を無効にする可能性がある。有用な継続性マップは、どの公共サービスが企業のデータに依存しているか、データまたは検証方法が信頼を失った場合に顧客が何をしなければならないか、そしてプロバイダーが契約およびリスクの決定のための迅速な証拠をどのように提供するかを示すべきである。
SME の継続性はテクノロジー問題であると同時にキャパシティ問題である
中小企業は、連邦機関とは異なる形で爆発半径に現れる。公開記録は、Equifax 侵害が中小企業サービスの一般的な停止を引き起こしたことを示しておらず、それを暗示するのは不正確であろう。より支持可能なリスクは、小規模な雇用主、家主、貸し手、専門サービス会社、サービスプロバイダーが、大規模機関が利用できる不正チーム、法的キャパシティ、または代替オプションなしに、クレジット、審査、給与計算、ID エコシステムに参加していることである。
Equifax の 2017 年 Form 10-K は、消費者および商業情報、信用スコアリング、不正防止、本人確認、住宅ローン情報、雇用確認、および政府関連サービスを説明している。また、Workforce Solutions セグメントが政府、住宅ローン、金融、雇用前審査、および通信の用途にサービスを提供していたと報告している。これらのサービスは、中小企業が Equifax の直接の企業顧客でなくても、中小企業が毎日行う決定の中に位置している。
継続性の負担はいくつかの場所に及ぶ。小規模な貸し手や家主は、露出した ID 属性を使用する人物から正当な申請者を区別する必要があるかもしれない。小規模な雇用主は、審査または収入確認チェーンに依存するかもしれないが、支配的なデータプロバイダーに詳細なコントロール証拠を要求するための影響力を欠いている。地域の金融機関は、大規模な侵害の後に顧客サポートや不正レビューの作業を負うかもしれない。専門サービス会社は、クライアントが信用を凍結したり、損失を文書化したり、記録を訂正したりするのを支援しなければならないかもしれない。これらの影響のいずれも、Equifax のプラットフォームがオフラインであることを必要としない。
和解記録は、消費者レベルでのこの負担の持続性を反映している。Equifax 侵害和解公式サイトは、和解が 2022 年 1 月に発効し、初期給付が 2022 年後半に発行され始め、延長請求給付がその後も続いたと述べている。FTC 和解ページは、継続的な支払いと ID 復旧の取り決めを記録している。影響を受ける人々を支援する小規模組織は、この長い尾を、1 つの劇的な停止としてではなく、繰り返されるアカウント回復、文書化、不正処理、従業員支援として経験するかもしれない。
SME にとっての実際的なコントロールの教訓は、グローバルな信用調査機関のセキュリティプログラムを再現することではない。露出した静的な属性への依存を減らし、代替経路を知ることである。ID チェックは、社会保障番号、生年月日、住所、または信用ファイルの質問を、単に個人情報であるという理由で秘密として扱うべきではない。審査、給与計算、クレジット、および ID ベンダーとの契約は、インシデント通知チャネル、サービス代替案、データ保持制限、訂正手順、およびサポートコミットメントを特定すべきである。継続性計画は、プロバイダーが利用可能であるが、その証拠を追加の注意をもって扱わなければならない場合に何が起こるかをテストすべきである。
SME にサービスを提供するプロバイダーにとって、取締役会の説明責任には顧客の非対称性が含まれる。大規模顧客は監査を委託し、通知条項を交渉できるが、小規模顧客はしばしば標準的な条件と公的な保証を受け入れる。高価値データを保持するプロバイダーは、各小規模顧客がそれを調査する規模を持つことに安全性を依存させるべきではない。独立した評価、強制力のあるベースラインコントロール、明確なインシデント通知、アクセス可能な修復チャネルが、その不均衡を部分的に修正する。
経営陣の説明責任:ポリシーの所有権は実行から分離されていた
下院報告書の中心的な経営陣の調査結果は、セキュリティポリシーと IT 運用の間の説明責任のギャップだった。侵害前、最高セキュリティ責任者は最高情報責任者や CEO に直接報告するのではなく、最高法務責任者に報告していた。報告構造は合法的に異なり、単一の組織図がセキュリティを保証するわけではない。このケースでは、委員会が収集した証言は、セキュリティと IT がサイロ化しており、一貫性のないコミュニケーション、別々に維持された不完全なインベントリリスト、セキュリティ作業のペースに対する不満があったと説明した。
報告書は、上級 IT およびセキュリティリーダーが 2016 年から毎月の調整会議を開催し、パッチ管理やデジタル証明書の展開などのイニシアチブを追跡していたと述べている。この証拠は、問題が完全に見えなかったわけではないことを示すため重要である。組織にはフォーラムとイニシアチブがあった。失敗は、注意を完全でテスト済みの実装に変換することにあった。
2015 年の監査はその結論を補強する。事後対応型のパッチ適用、不完全なインベントリ、弱い検証、そしてレガシーシステムのリスクは既に記録されていた。成熟した説明責任システムは、各発見を経営陣の所有者に割り当て、測定可能なクロージャ基準を定義し、独立した検証を要求し、期限を過ぎた日付をリスク委員会にエスカレーションする。監査問題をクローズすることは、プロジェクトが立ち上げられたとか、目標日が記録されたということではなく、コントロールが対象範囲環境全体で機能していることを意味するはずである。
Equifax の侵害後の人事措置は重要だった。CIO と最高セキュリティ責任者は 2017 年 9 月に退職した。CEO 兼会長のリチャード・スミスは同月下旬に退任した。ACIS を含むシステムを担当していた上級幹部は 10 月に解雇された。同社は後に、CEO に直接報告する CISO と、同格の最高技術責任者を任命した。これらの措置はリーダーシップと構造を変えた。それらは、それ自体として、各人のすべてのコントロール失敗に対する法的責任を確立するものではない。
同じ抑制がインサイダー取引にも適用される。取締役会特別委員会は、不審な活動の発見と公表の間に取引した 4 人の上級役員をレビューし、彼らが取引時にインシデントを知らなかったと報告した。委員会の報告書はEquifax 取締役会特別委員会の添付書類として SEC に提出された。別途、SEC は元ビジネスユニット CIO の Jun Ying に対して訴訟を起こした。SEC の 2019 年の訴訟リリースは、同意による最終判決がインサイダー取引の主張を解決し、並行する刑事事件での有罪答弁を指摘している。これらは異なる人物であり、異なる事実記録である。それらを組み合わせると、開示説明責任の証拠を歪めるだろう。
取締役会の説明責任:インシデント前、エスカレーション中、和解後
取締役会の説明責任は 3 つの期間に分けられるべきである。侵害前の質問は、取締役会が重要なサイバーリスクと未解決のコントロール発見について何を知っていたか、または知ることを要求すべきだったかである。エスカレーション中の質問は、重要な事実が十分に迅速に、決定を支援する形で取締役に届いたかどうかである。侵害後の質問は、ガバナンスの変更が一時的な注意ではなく、永続的な証拠を生み出したかどうかである。
公開記録は、第 1 の期間よりも第 3 の期間についてより多くの詳細を提供している。下院報告書は経営陣の構造を批判し、CEO がサイバーセキュリティを優先しなかったと述べており、これは会議の頻度と誰がセキュリティ情報を提示したかに部分的に基づいている。それは取締役に対する受託者義務の主張を裁定するものではない。ここでレビューされた情報源は、個々の取締役が脆弱な ACIS 構成を故意に受け入れたことを立証していない。抑制された分析は、そのギャップを推論で埋めるべきではない。
Equifax の2018 年委任状は、取締役会の対応を説明している。取締役会は特別委員会を形成し、会長と CEO の役割を分離し、テクノロジーと金融サービスの経験を持つ取締役を追加し、テクノロジー委員会のサイバーセキュリティに対する責任を拡大し、CISO、CTO、内部監査からの定期的な報告を要求し、経営陣不在のエグゼクティブセッションを規定した。また、取締役会とその委員会はインシデント報告後に 75 回以上会合したとも述べている。
委任状はまた、報酬措置も開示した。取締役会は、上級リーダーシップチームの 2017 年年次インセンティブ支払い(約 280 万ドル)を排除し、監督能力における財務上および評判上の害を含めるようにクローバックポリシーを強化し、サイバーセキュリティを経営幹部の業績評価指標として追加した。これらの措置は、サイバー成果を経営幹部の説明責任に結び付ける努力を示している。それらの有効性は、指標の質に依存する。パッチ量やトレーニング完了に基づく指標は、重大な残留リスクが残っている間に満たされる可能性がある。成果指向の指標は、カバレッジ、エージング、独立した検証、繰り返し発見、および例外露出をテストすべきである。
取締役会のインシデント後の会合回数は、注意の証拠であり、有効性の証明ではない。危機対応中に 75 回の会合が必要な場合もある。より強力なガバナンスの変更は構造的だった。CISO への直接アクセス、委員会の範囲、独立した専門知識、監査との調整、定義されたエスカレーションである。これらでさえ、信頼できる情報モデルを必要とする。取締役会は、インベントリにないアプリケーションを監督したり、カバレッジ制限が隠されているスキャンに異議を唱えたりすることはできない。
2018 年 6 月の多州同意命令は、自主的なガバナンスから強制力のある義務へといくつかの期待を移した。Equifax は、不安全または不健全な情報セキュリティ慣行の申し立てを認めも否定もせずに同意した。この命令は、書面によるリスク評価、侵害改善プロジェクトのリストと優先順位付け、より強力な監査、改善された IT 資産インベントリ、正式なパッチ識別と管理、レガシーシステム計画、災害復旧と事業継続への注意について、取締役会のレビューと承認を要求した。その重要性は、規制当局が特定のスキャナーを処方したことではない。コントロールシステムへの追跡可能な取締役会の関与を要求したことである。
和解と規制上の認定:何が決定され、何が決定されなかったか
2019 年 7 月、FTC、CFPB、州司法長官、Equifax は調整された解決を発表した。FTC の発表は、少なくとも 5 億 7,500 万ドル、最大 7 億ドルの可能性を説明した。消費者基金として当初 3 億ドル、必要に応じてさらに最大 1 億 2,500 万ドル、参加する州と準州に 1 億 7,500 万ドル、CFPB の民事制裁金として 1 億ドルである。ニューヨーク州司法長官の多州発表は、州の構成要素とセキュリティコミットメントを説明している。Equifax 自身の和解発表は、合意と予想される支払いの会社の提示を反映して、6 億 7,100 万ドルの解決額を使用した。
これらの合計は交換可能であるとして扱われるべきではない。一部には偶発的な追加が含まれ、一部は規制上の罰則とクラス救済を組み合わせ、クラス基金は独自の会計を持ち、監視サービスの価値は利用状況に依存する。正しい慣行は、普遍的な和解総額を探すのではなく、各数字に付随する範囲を述べることである。
FTC 訴状は、Equifax が合理的なセキュリティを使用しなかったことが不公正な慣行を構成し、セーフガードに関する表明が欺瞞的であり、同社がグラム・リーチ・ブライリー法セーフガード規則に違反したと主張した。それは、不十分なパッチ手順、不完全なインベントリ、不適切に設定されたスキャン、不十分なセグメンテーションと侵入検知、平文の認証情報とデータ、弱いアクセス管理を主張している。これらは申し立てであり、大部分が議会の調査結果や Equifax の報告された改善と一致しているとしてもである。
署名された FTC 規定命令とCFPB 提出の規定命令は、将来の説明責任にとってより重要である。それらは、書面による情報セキュリティプログラム、年次リスク評価、セーフガード、テスト、サービスプロバイダー管理、脆弱性テスト、ペネトレーションテスト、独立した評価を要求した。FTC 命令は、セキュリティプログラムと重要な更新が少なくとも年 1 回、取締役会または関連委員会に提出されることを要求している。また、20 年間にわたり、コンプライアンスと非公開の重要な非コンプライアンスに関する年次取締役会または委員会の認証も要求している。
この認証は取締役会の証拠負担を変える。取締役は、経営陣の主張のみに基づいて責任を持って認証することはできない。命令は独立した評価を要求し、評価者が結論を裏付ける証拠を特定することを指定し、調査結果が Equifax 経営陣の証明のみに依存してはならないと述べている。また、評価者が範囲を決定できるように、Equifax はネットワーク全体と IT 資産に関する情報を評価者に提供することを要求している。これらの規定は、2017 年に露呈したパターン、すなわち未知の資産、自己報告された完了、信頼できるカバレッジのない否定的なスキャンに直接対処している。
消費者訴訟は別の層を生み出した。SEC に提出された和解合意書は、ビジネス慣行のコミットメントと消費者救済を確立した。2021 年、第 11 巡回区控訴裁判所は、巡回区の先例に基づきクラス代表者へのインセンティブ報酬を破棄しながら、和解の承認を大部分支持した。意見は、当初の 3 億 8,050 万ドルのクラス基金、可能な追加額、信用監視と本人確認復旧給付、5 年間で最低 10 億ドルのデータセキュリティ支出、独立した評価、地方裁判所の執行を記録している。
クラス和解は、すべての申し立てに関する陪審評決を生み出したわけではない。公式和解サイトは、Equifax が不正行為を否定し、その和解において不正行為の判決や認定が行われなかったと明示的に述べている。それは、命令、支払い、会社の開示、議会の調査結果、または SEC 提出のコミットメントを消去するものではない。それはそれらの法的位置づけを定義する。和解された説明責任は依然として説明責任であるが、それは裁判後の確定した責任とは同じではない。
取締役会が重要なパッチウィンドウに要求すべきこと
Equifax の記録は、将来の取締役会のための具体的な証拠パッケージを支持する。それは、重大な勧告が到着したときに始まり、露出が修復されるか、制約された条件下で正式に受け入れられるまで開いたままであるべきである。
第一に、経営陣は分母を確立すべきである。報告書は、インターネットに面したサービス、影響を受けるソフトウェアコンポーネントとバージョン、所有者、データ分類、ネットワーク経路、インベントリカバレッジの信頼度を特定すべきである。未知の領域はクリーンとしてカウントされるのではなく、未知として報告されるべきである。
第二に、所有権は肯定的であるべきである。指名された技術的およびビジネス所有者はタスクを引き受けるべきである。配布リストは通知メカニズムであり、説明責任ではない。所有者が不在であるか、役割を変更したか、指示を確認しない場合、パッチ期限が切れる前にエスカレーションが行われるべきである。
第三に、検証は変更から独立しているべきである。パッチをインストールするチームは展開の証拠を提供できるが、別のコントロールが脆弱性の不在を検証すべきである。組み込みフレームワークの場合、認証されたスキャン、ソフトウェア構成の証拠、ビルドマニフェスト、または直接検査が必要になるかもしれない。スキャナーの制限は結果の横に表示されるべきである。
第四に、例外はアーキテクチャを変更すべきである。重要なシステムが必要なウィンドウ内にパッチを適用できない場合、例外はその理由、誰がリスクを受け入れたか、いつ期限切れになるか、どの補償コントロールが露出を減らすかを特定すべきである。インターネットアクセスの削除、脆弱な機能の無効化、リクエストの制限、サービスの隔離、出力の厳格化、データベースリーチの制限は、テストが続く間リスクを減らす可能性がある。補償変更のない例外は延期された決定である。
第五に、取締役会は爆発半径を見るべきである。すべての重要な外部から到達可能なアプリケーションについて、経営陣は侵害後にどのデータベース、ファイル共有、認証情報、管理機能に到達可能かを示すべきである。最小権限とセグメンテーションは、ネットワーク図から想定されるのではなく、アプリケーション ID からテストされるべきである。
第六に、検出コントロールは健全性の証拠を必要とする。証明書の有効性、センサーカバレッジ、ログフロー、復号能力、アラート遅延、保持は、それ自体がコントロールとして監視されるべきである。トラフィックを検査できないセキュリティアプライアンスは、可視的な障害を報告し、エスカレーションを作成すべきであり、サイレントにカバレッジとして表されたままになるべきではない。
第七に、古い監査発見は現在のインシデントに結合されるべきである。重大な脆弱性が以前の監査で特定された同じ条件を露呈する場合、取締役会はその関係を直ちに見るべきである。繰り返しの発見は日常的なバックログではない。それらは、以前の修復が運用環境を変えなかった証拠である。
第八に、継続性計画には信頼の失敗を含めるべきである。計画は、データが露出した場合、ID 方法がもはや信頼できない場合、またはコアプラットフォームがオンラインのままでサービスを隔離しなければならない場合の顧客と政府の行動をカバーすべきである。消費者規模の通知、認証された応答ドメイン、通話容量、契約通知、小規模顧客へのサポートは、侵害前にテストされるべきである。
これらの要件は、取締役がパッチを管理するための議論ではない。それらは、パッチが管理下にあると主張するシステムを取締役が統治するための議論である。取締役会の役割は、リスク許容度を設定し、信頼できる報告を要求し、共有された盲点に異議を唱え、経営幹部の説明責任を割り当て、重大な例外が運用の複雑さの中で消えないようにすることである。
永続的な説明責任のテスト
Equifax の侵害は、利用可能であったが適用されなかったパッチとして記憶されることが多い。より永続的な教訓は、すべての見かけのセーフガードが、会社が確実に所有していなかった証拠に依存していたことである。勧告は組織に届いたが、責任あるアプリケーションチームには届かなかった。48 時間ルールは存在したが、確認とクロージャを欠いていた。スキャンは実行されたが、コンポーネントをカバーしなかった。監視技術は存在したが、トラフィックを検査できなかった。ポータルには定義された機能があったが、その機能に必要なよりもはるかに多くのデータに到達できた。監査発見は存在したが、独立して解決されたことは示されなかった。
侵害後の記録は説明責任を上方に移動させた。経営陣の役割が変わった。取締役会委員会の責任が拡大した。インセンティブ決定はサイバーの結果を組み込んだ。州規制当局は取締役会承認のリスクと改善作業を要求した。連邦命令は長期のセキュリティプログラム、独立した評価、年次認証を要求した。消費者和解は、改善の周りに相当な支出と裁判所が執行可能なコミットメントを置いた。
それらのいずれも、取締役会の会合や認証を追加することで大規模な侵害を排除できることを証明するものではない。それは、ガバナンスが何を観察可能にしなければならないかを示している。取締役会は、重大な勧告を、影響を受けるすべての資産、すべての説明責任のある所有者、すべての実行された変更、すべての独立した検証、すべての一時的な例外、そして機密データへのすべての残留ルートまで追跡できるべきである。そのチェーンが不完全な場合、正しいステータスは緑ではない。それは未解決のリスクである。
公的機関や SME にとって、このケースは継続性を可用性を超えて拡大する。データ仲介者は、顧客が ID 証拠への信頼を失い、契約を一時停止し、不正防止策を追加し、スタッフを修復に振り向ける間、オンラインであり続けることができる。最も小規模な下流組織や個々の消費者は、その作業を吸収するためのキャパシティが最も少ないことが多い。それらの依存は、プロバイダーの稼働時間メトリックに可視的でなくても、プロバイダーのリスクフットプリントの一部である。
したがって、Equifax の侵害は、開始時の欠陥が平凡であり、結果が異常であったため、取締役会説明責任のベンチマークであり続ける。脆弱性は公的だった。修正は利用可能だった。内部期限は短かった。失敗したのは、自らの指示が重要なシステムを変えたことを証明する機関の能力だった。

