個人情報流出のEquifax、データ漏えいチェック機能の認証に問題

　Equifaxのデータ漏えいチェック機能には問題があったようだ。

　米信用情報会社のEquifaxはこの数カ月間にハッキングされ、最大1億4300万人分の個人情報が流出したことを認めた。

　Equifaxの子会社であるTrustedIDがホストするチェック機能は、入力値を適切に確認していなかったようだ。多数のユーザーが、自分の個人情報が漏えいしていないことを確認するためにこの機能を利用していた。

　このチェッカーが、正しくない結果を返すということだ。

　本稿執筆の少し前、報告者からのツイートによって、米ZDNetは明らかに間違った情報をチェッカーに入力できることを確認した。われわれは氏名の欄に「Test」、社会保障番号の欄に「123456」と入力した。

　システムはその入力データを有効とみなし、そのユーザーの個人情報が「影響を受けている可能性がある」と回答してきた。

　可能性としては、顧客データを有効にするために使われたデータベースに、複数のテスト入力が残っていることが考えられる。

　しかし、無作為な姓と社会保障番号を有効化しているとみられるこのチェッカーの問題は、実際の被害者が情報を入力する場合、回答が正確かどうかを確かめようがないということだ。

　データチェッカーの確実性に関して、ほかにも不満の声があがっている。

　自身の記録を2回調べたら、2回とも異なる回答だったと、2人がツイートしている。

　間違った情報を入力しても、正しい情報を入力しても、どちらの場合も確実さに欠けるということであり、問題の本質は何なのか、また修正されるのかどうかも不明だ。

　Equifaxの広報担当者は、個別の質問に答えなかったものの、今回の報道を受けたプレスリリースで、「開設直後のウェブサイトを訪れた顧客の一部は、影響を受けている可能性があるかどうかについて、明確な回答を得ることができなかった」という包括的な回答を示した。

　その後、「現在ではこの問題は解消されており、顧客にはサイトに再度アクセスして自分のステータスを確認するよう勧めている」と広報担当者は述べている。

提供：ZDNet