米大手データ仲介業者がハッキング被害--大量の個人情報が流出か

　「あらゆる米国の居住者に関する」個人データを販売する（売られたデータはID窃盗に利用できる）違法サービスが、LexisNexisやDun & Bradstreetを含む複数の大手データ収集企業のサーバをハッキングしたとの報道があった。

　この報道によると、このサービスの顧客は「膨大な金額を費やして、400万人以上の米国人に関する社会保障番号、生年月日、運転免許証の記録を調べるとともに、信用や経歴に関する記録を不正に入手した」という。

　米国時間9月25日付の記事で、Washington Postの元記者で現在はブログKrebs on Securityを執筆しているBrian Krebs氏は、Expose.suというサイトが、2013年に入って有名人や政府関係者の金融関連情報を掲載した手口を概説した。

　このサイトの活動を受けて、米連邦捜査局（FBI）は捜査を開始した。これは、Expose.suが当時FBI長官を務めていたRobert Mueller氏の社会保障番号、住所、信用報告書を公開したことも一因となっている。

　Krebs氏によると、Expose.suは、別のサイトssndob.ms（別名SSNDOB）から情報を入手したという。Expose.suは「exposes you」（あなたを暴露する）を意図したもの、SSNDOBは「Social Security Number」（社会保障番号）と「Date Of Birth」（生年月日）を合わせた名称と思われる。SSNDOBは、自らが運用する小規模なボットネットを通じてデータを取得した。このボットネットは、LexisNexis、Dun & Bradstreet、Kroll Background Americaなど、米国の複数の大手データ仲介業者の感染したサーバにアクセスしたとみられる（加えて、ハッキングされたサーバにインストールされたボットプログラムについて、Krebs氏は、「現在市場に出ているマルウェア対策ツールの上位46製品のどれも、これが悪意のあるものだと検出しなかった」と伝えている）。

　Krebs氏によると、LexisNexisは法的および公的記録に関する情報を扱う世界最大規模の電子データベースを保持している。また、Dun & Bradstreetは与信判断で利用される企業情報を提供し、Kroll（現在はHireRight傘下）は採用時の職歴やドラッグおよび健康審査に関するサービスを提供しているという。

　「被害を受けた3社はいずれも、連邦当局および科学捜査を行う第三者の企業各社と協力し、漏えいの範囲や、各社のネットワークの機密情報へのアクセスおよび情報流出の有無を特定する初期段階にあるとしている」と、Krebs氏は伝えている。