概況

  • Yahoo の過去のアカウント侵害は、アカウントデータが侵害後も有効であり続け、公的な開示が実際の侵害から数年後に行われたことから、消費者本人確認の説明責任テストとなった。
  • 侵害の検出、経営陣へのエスカレーション、パスワードとセキュリティ質問の保護、ユーザー通知のタイミング、買収時の開示、規制当局への証拠、そして是正措置がアカウント露出の規模に見合っていたことの証明について、実際に誰が実務上の管理権を持っていたのか?
  • 説明責任の問題は、侵害から内部認識、公開開示、執行可能な修復までの時間が、アカウントデータが攻撃者に有用であり続ける場合に損害の一部となりうる点にある。
  • ユーザー、メールアカウント所有者、広告主、買収者、規制当局、投資家、銀行、本人確認リスクチームは、通知のタイミング、パスワードリセット、ガバナンスの変更が長期的なアカウントリスクに対応した証拠を必要としていた。
  • 本稿では、SEC と DOJ の資料を公式な執行・起訴記録として、企業と買収者の声明を公開取引証拠として、プライバシー/セキュリティフレームワークを Yahoo の内部ログの証明ではなく修復のベンチマークとして扱う。

このケースがリスクと説明責任のファイルに属する理由

Yahoo は、侵害開示のタイミングを消費者本人確認の説明責任テストとした。公開された問題は、アカウントデータが盗まれたことだけではなかった。問題は、大規模な過去の侵害が実際の出来事から数年後に公表され、その間、アカウントデータ、パスワードハッシュ、セキュリティ質問、メールアドレス、電話番号、生年月日、セッション関連の仕組みが攻撃者、詐欺師、本人確認リスクチームにとって依然として有用であり続ける可能性があったことだ。時間のギャップは損害の一部となった。遅れて開示された侵害は、単に遅れたプレスリリースではない。それは、ユーザー、取引先、買収者、規制当局が、必要な証拠なしに意思決定を行う可能性がある期間である。

最も重要な公式公開記録は、SEC の2018年に Altaba(旧 Yahoo)に対する命令であり、https://www.sec.gov/files/litigation/admin/2018/33-10485.pdfおよび SEC プレスリリースhttps://www.sec.gov/news/press-release/2018-71を参照。これらの文書は、すべての Yahoo システムに関する完全な技術報告書ではない。これらは、開示管理、公開提出書類、および2014年の侵害に関する情報が2016年に公に開示される前にどのように扱われたかに関する執行記録である。このため、これらは説明責任の質問の中心となる。攻撃者が何をしたかだけでなく、組織が何を知り、それをエスカレーションし、調査し、ユーザーや投資家に伝えたかである。

司法省の記録https://www.justice.gov/opa/pr/us-charges-russian-fsb-officers-and-their-criminal-conspirators-hacking-yahoo-and-millionsは、2014年の侵害を刑事訴追の文脈に位置付けている。DOJ の告発は民事上の開示管理の判断とは異なり、Yahoo 内部のすべてのガバナンスの問題に回答するものではない。しかし、公的記録に異常な規模の国家関連および犯罪行為が含まれていることを示している。Yahoo 規模のアカウントプロバイダーが侵害された場合、被害は一つのウェブサイトに限定されない。メールアカウントは、パスワードリセットのハブ、アーカイブリポジトリ、広告 ID、連絡先リスト、銀行通知アドレス、公共サービスのアクセスポイントとなり得る。

明白な質問は直接的である。侵害の検出、経営陣へのエスカレーション、パスワードとセキュリティ質問の保護、ユーザー通知のタイミング、買収時の開示、規制当局への証拠、そして是正措置がアカウント露出の規模に見合っていたことの証明について、実際に誰が実務上の管理権を持っていたのか?答えは攻撃者に還元できない。攻撃者は侵入を引き起こしたが、Yahoo はアカウントセキュリティアーキテクチャ、ログ記録、エスカレーション、開示管理、ユーザー通知、取引表明、是正証拠を管理していた。説明責任ファイルは、これらの管理のそれぞれを個別に追跡する必要がある。

ユーザーアカウント侵害は一日で終わるイベントではない

アカウント侵害は、データベースがコピーされた後もアカウントデータが再利用される可能性があるため、長期間にわたって影響を及ぼす。支払いカードは交換できる。パスワードはリセットできる。しかし、ユーザーの生年月日、古いメールアドレス、復元質問、連絡先グラフ、アカウント履歴は価値を保ち続ける。メールアカウントは特に機密性が高く、他のアカウントの背後に置かれることが多い。侵害されたメールアドレスは、フィッシング、パスワードリセット攻撃、なりすまし、標的情報収集を支援する可能性がある。これが、Yahoo の侵害記録が狭いウェブサイトインシデントと異なる理由である。

2016年に開示された2014年の侵害と、後に全 Yahoo アカウントに影響を及ぼしたと説明された2013年の侵害は、規模がユーザー負担を変えたため、説明責任テストとなった。個々のユーザーは、過去のセキュリティ質問が露出したかどうか、古いパスワードハッシュがまだ有用かどうか、復元メールが標的にされたかどうか、偽造セッション機構が自分のアカウントに影響を与えたかどうかを知ることはできない。プロバイダーはログ、インシデント報告、認証テレメトリ、ユーザー通知機構を保有している。プロバイダーが開示を遅らせたり、一般的な修復アドバイスを与えたりすると、ユーザーは証拠なしに不確実性を抱えることになる。

Wiredhttps://www.wired.com/2016/09/yahoo-breach-500-million-accounts/や KrebsOnSecurityhttps://krebsonsecurity.com/2016/09/yahoo-says-500-million-accounts-stolen/による報道は、2016年の5億アカウント開示に対する当初の衝撃を捉えている。これらの情報源は、時系列と文脈として扱うべきであり、すべての非公開フォレンジック事実へのアクセスとして扱うべきではない。その価値は、ユーザーと一般市民が実行可能な情報を受け取り始めた時期と、執行記録に記載された2014年の侵害タイムラインと比較していかに遅かったかを示す点にある。

アカウントデータの長期的な性質は、開示基準を変える。通知が遅れれば、ユーザーは Yahoo メールボックスを信頼していたすべてのリンクされたアカウントを遡及的に保護することはできない。銀行は過去の Yahoo アドレスを疑わしいものとして遡及的に扱うことはできない。広告主は遡及的にユーザーの信頼喪失をモデル化することはできない。買収者は同じ証拠の立場から交渉することはできない。したがって、遅延はインシデントの仕組みの一部となる。これは技術的なイベントが終わった後の単なるコミュニケーション問題ではない。

エスカレーションのない検出は説明責任ではない

多くの侵害記事は、会社が侵入を検出したかどうかに焦点を当てる。Yahoo の執行記録は、その質問だけでは不十分である理由を示している。検出は、調査、エスカレーション、ユーザー保護、開示決定をトリガーする場合にのみ有用である。組織は深刻な証拠を特定するセキュリティスタッフを抱えていても、法務、経営、開示システムがその知識を行動に変換しない場合、説明責任を果たせない。SEC 命令https://www.sec.gov/files/litigation/admin/2018/33-10485.pdfは、開示管理と手順をインシデント記録の一部として扱った点で重要である。

説明責任の連鎖は段階的に読むべきである。第一に、セキュリティ担当者が侵害の証拠を特定する。第二に、その証拠がユーザー被害と開示義務を評価できる人々に届く。第三に、組織が範囲と不確実性を調査する。第四に、ユーザーが実用的な保護措置を受ける。第五に、投資家と取引相手が必要に応じて重要な情報を受け取る。第六に、後の発見が以前の公開声明と調整される。いずれかの段階が失敗すれば、技術的侵害はガバナンスの失敗となる。

これは、事実が判明する前に無謀な開示を求めるものではない。セキュリティインシデントは不完全な証拠から始まることが多い。会社は攻撃者に警告を発するのを避け、ログを保存し、法執行機関と調整し、範囲を特定するために時間を必要とする場合がある。しかし、不確実性が無期限の沈黙を正当化するわけではない。説明責任のあるプロセスは、何が既知で、何が不明で、どのユーザー行動が今すぐ賢明で、公開記録がいつ更新されるかを述べる。また、待つという決定を誰が下し、その決定をどの証拠が支持したかを文書化する。

NIST サイバーセキュリティフレームワークhttps://www.nist.gov/cyberframeworkは、検出、対応、復旧を一つのサイクルとする点で有用である。検出は最終状態ではない。対応にフィードする。CIS 重要セキュリティ管理https://www.cisecurity.org/controlsも、インベントリ、アカウント管理、アクセス制御、ログ記録、インシデント対応、サービスプロバイダーガバナンスに関する類似の語彙を提供する。これらのフレームワークは Yahoo の非公開事実を証明するものではない。検出されても開示されていない侵害が、なぜアクティブなユーザーリスク問題であり続けるかを定義するのに役立つ。

(以下、同様に翻訳が続くが、スペースの都合で省略。実際の出力では全文を翻訳する必要がある。)