Equifax Inc.(EFX)は、2017年9月7日に、1億4300万の顧客が5月中旬から7月に発生したハッキングの影響を受けたと発表しました。 その数は、その後数週間で1億4550万人に、その後2018年3月1日に1億4790万人に増加しました。
同日、市場が閉鎖された後、同社は第4四半期および通年の業績を報告しました。 同社の第4四半期の収益は、前年比5%増の8億3850万ドルでした。 当四半期の純利益は、前年比40%増の1億7, 230万ドルでした。 通年の収益と利益も2016年と比較して増加しました。収益は7%増の34億ドル、純利益は20%増の5億8, 730万ドルでした。 同社によると、このハックの費用は第4四半期で2, 650万ドル、通年で1億1, 400万ドルでした(保険の支払いを除く)。 S&P 500に沿って1.3%下落した株式は、執筆時点の営業時間外取引で0.6%上昇しています。
Equifaxによると、最大209, 000の顧客のクレジットカード番号が公開され、182, 000人の米国消費者に関連する紛争文書(個人情報を含む)が侵害されました。 英国の消費者も侵害の影響を受けました。 一部のカナダ人が侵害された可能性があります。 ウォールストリートジャーナルによると、無名の情報源を引用して、10.9百万人のアメリカ人の運転免許証データが侵害で盗まれました。
同社は7月29日以来この攻撃について知っていましたが、一般に警告するために1か月以上待ちました。 9月20日に、Equifaxが契約したFireEye Inc.(FEYE)子会社であるMandiantは、少なくとも3月10日までの違反を推定していると報告されました。
FBIが調査している攻撃のソースに関する情報はほとんどありませんが、ブルームバーグによると、人事管理局とAnthem Inc.に対する以前の攻撃との類似点は、攻撃者が国家支援、おそらく中国人である可能性を示唆しています。 Equifaxの顧客情報が闇市場に現れていないことは、ハッカーが単なる犯罪者ではなかったことを示唆しています。 また、ブルームバーグは、攻撃者が特定の個人を標的にしたと報告しています。これは、おそらくその富や知性の価値のためです。
米国の成人人口は約2億5000万人であるため、違反の影響を受けた可能性は高くなります。 ほぼ6か月前に攻撃が開始されてから、すでに詐欺の被害者になっている可能性もあります。
アトランタに本拠を置くEquifaxは、消費者信用報告の3大代理店の1つで、他の2つはExperian PLC(ロンドン:EXPN)とTransUnion(TRU)です。社会保障番号、クレジットカード番号、運転免許証番号、家賃、ユーティリティなどのデータを収集します支払い情報、および人口統計データ。 Equifaxのモデルは主に企業間取引であるため、顧客の多くは自社のデータが企業に保存されていることに気付いていません。 金融システムとクレジットシステムを完全に回避する以外に、Equifaxが個人データを保存することをオプトアウトする簡単な方法はありません。 ( 歴史上の5つの最大のクレジットカードデータハック も参照してください 。 )
影響を受けたかどうかを確認する方法
Equifaxは、あなたの姓と社会保障番号の最後の6桁を入力することにより、情報が侵害されているかどうかを確認できるサイトを設定しました。 このサイトは激しい批判の対象となっており、セキュリティに関する質問のためにリンクを削除しました。 既製のブログプラットフォームであるWordPressを使用してセットアップされました。 Equifaxのメインサイトとは別のドメインに収容されています。 会社は、フィッシング攻撃に使用される可能性のある同様のURLの登録を怠っていました。 あるホワイトハットハッカーがそのようなサイトを設定してポイントを証明し、公式のEquifaxアカウントが偽のサイトへのリンクをツイートしました。 一回以上。
Equifaxは、影響を受けるかどうかにかかわらず、TrustedID Premierと呼ばれる次のサービスを顧客に提供しました。Equifaxクレジットレポートのコピー、クレジットモニタリング、3つの主要な信用調査機関すべての自動アラート、Equifaxクレジットレポートへの第三者アクセスをブロックする機能(例外を含む)、社会保障番号の監視、個人情報の盗難保険100万ドル。 適用期限は2017年11月21日でした。
同社によれば、これらのサービスはすべて無料ですが、クレジットファイルにセキュリティフリーズを設定することは、当初は無料ではありませんでした-少なくとも誰にとってもそうではありません。 9月8日にEquifaxクレジットファイルをフリーズしようとしたとき、同社のサイトはサービスの価格が3.00ドルになると述べ、支払いを処理するためにクレジットカード情報を要求しました。
ニューヨーク在住の私は、Experianファイルを無料でフリーズすることができました。 TransUnionのサイトでは、最初はリクエストを処理できませんでした(おそらくトラフィックの増加の兆候)が、後でフリーズを無料にすることができました。
Equifaxのスポークスマンは、Eメールでの声明で、9月14日にInvestopediaに、クレジットファイルを凍結するためのすべての料金を放棄し、ハッキングが公開された後に支払った顧客に自動的に返金することを伝えました。 現在、信用報告書を凍結していた顧客に対して会社が発行したPINに関して、新たな懸念とセキュリティの明確な失効が生じています。 顧客が信用報告書を凍結解除できるようにするこれらのPINは、簡単に識別可能なパターンに従います。 スポークスマンは、これらの不良なPINを持つ顧客は、ライブエージェントと話すために866-349-5191に電話しなければならないと言いました。
TrustedID Premierサービスの無料のEquifaxリストは、1年間のみ無料です。 Equifaxの広報担当者はInvestopediaに、顧客がサービスにサインアップするときに会社がクレジットカード情報を要求しておらず、会社が自動的に更新したり料金を請求したりしないと語った。 Equifaxのクレジットモニタリングの標準レートは月額17ドルです。
影響を受けた場合の対処方法
NerdWalletのパーソナルファイナンスライターであるLiz Westonは、Equifax侵害の影響を受けた人に次のアドバイスを提供します。Investopediaとメールで共有しました。「Equifaxは被害者に連絡し、信用監視を提供します。監視に同意しても、彼らが訴訟や将来のその他の行動に参加することを妨げません。」
当初、TrustedID Premierの利用規約ページ(アーカイブ版)では、ユーザーはEquifaxに対する集団訴訟に参加する権利を放棄する必要がありました。「仲裁に申し立てを提出することに同意することにより、お客様は、持参または参加する権利を失います。申し立ての根拠となる事実や状況が既に発生している場合でも、集団訴訟において(指名された原告または集団メンバーとして)、または集団がまだ認定されていない集団訴訟を含む集団訴訟賞を共有するためまたは存在しました。」 反発を受けて、同社のFAQページが更新され、この条項はハッキングではなくTrustedID Premierサービスに適用されると述べられました。 9月12日の朝現在、利用規約には仲裁条項は含まれていません。
Westonは、影響を受ける顧客は、3つの主要なすべての局で信用報告書を凍結することを検討すべきだと述べています。 前述のように、信用調査機関はその凍結を開始するために料金を請求する場合があります。 信用調査が必要な場合(たとえば、携帯電話サービスに申し込むため)に、凍結解除アカウントに対して請求される場合があります。 これらの料金は通常10ドル未満ですが、合計される可能性があります。 Westonは、3つの信用調査機関の信用報告書に不正警告を出すことも別の選択肢であると指摘しています。 (詳細については、「 個人情報の盗難から回復する方法」を 参照してください。)
Equifaxが後援していない他の信用監視サービスも利用できます。 個人情報盗難防止サービス:持っている価値はありますか? 調査するためにそれらのいくつかをリストします。
エクイファックスの対応
Equifaxの当時の会長兼CEOであるリチャード・スミスは、ハックの後、「明らかに私たちの会社にとって残念な出来事であり、私たちが誰で何をしているのかを突き止めるものだ」と語った。 彼は9月26日に辞任し、2017年のボーナスは受け取りません。彼の退去は、9月14日に最高セキュリティ責任者のスーザンモールディンと最高情報責任者のデイビッドウェッブの後に続きました。
会社がハッキングを社内で明らかにした数日後-そして違反が一般に明らかにされる前-エクイファックスの最高財務責任者ジョン・ギャンブル、労働力ソリューションのロドルフォ・プロダーの社長、およびジョセフ・ラフランの米国情報ソリューションの社長はエクイファックスの株式を売却しました。 Equifaxは声明の中で、幹部は株を売ったときに違反について知らなかったと述べた。 Gamble、Ploder、およびLoughranは、合計で180万ドル近くを売り上げました。
2月28日の時点で、Equifaxの株価は、9月7日(ハッキングが発表される前)の終値から20.1%下落し、113.00ドルになりました。 いくつかの遅延の後、Equifaxは3月1日に終了した後、第4四半期の収益を報告すると言います。
訴訟を始めましょう
ロイター通信は9月11日に、30件以上の訴訟(その多くが集団訴訟を求めている)が米国の裁判所でエクイファックスに対して提起されたと報告した。 いくつかは証券法の違反を主張しています。 また、データ侵害の影響を受けた顧客に費用のかかるサービスを提供したとして、TrustedIDを非難する人もいます。 ユタ州の5人の居住者が、顧客の機密データを保護しなかったとして、米国地方裁判所で会社を訴えました。 この訴訟は、50億ドルの金銭的損害賠償とより厳しい業界基準の賦課を求めています。
少数の影響を受けた顧客は、Equifaxに頼ることであまり伝統的でないルートを取っています。 DoNotPayチャットボットは、最大の罰金が2, 500ドルから25, 000ドルの範囲である州の小規模な請求裁判所に苦情を申し立てる際の支援を提供します。 Vergeによると、ボットは訴訟のために書類を作成するだけで、実際に提出したり法廷に出たりすることはできません。
FBIとアトランタに本拠を置く米国司法長官ジョン・ホーンは、9月18日に違反に対する犯罪捜査を発表しました。消費者金融保護局と34の州検事総長が調査を行っています。
スミス氏がワシントンに行く
10月3日、元CEOのリチャード・スミスはHouse Digital Commerce and Consumer Protection小委員会の前で証言した。 Equifaxが消費者データを保護できなかったことを何度も謝罪し、侵害とEquifaxの対応に関連するさまざまな問題についての質問に直面しました。 証言の後、同社の株価は上昇したが、ハッキングが明らかにされる前の取引レベルを大きく下回った。
スミスは、TrustedID Premierの利用規約に最初に含まれていた物議を醸す仲裁条項に関する質問に応えて、「定型句」条項は決して違反に適用されることを意図せず、その包含を「間違い」と呼びました。 彼は、彼が「標準」と呼んでいた他のEquifaxサービスを管理する同様の条項を同じとは言わないでしょう。
イリノイ州の民主党員であるヤン・シャコフスキー議員は、この販売は「匂いテストに合格しない」と述べたが、スミスは「私の知る限り、彼らは知らなかった」と断言した。当時の違反。
スミスは、人為的ミスと技術的失敗の結果として違反を説明しました。ApacheStrutsソフトウェアにパッチを適用することを確認する責任者–攻撃者が悪用した公開脆弱性がありました–そのエラーについても会社に警告しました。
危機に対する同社の激しい反応も批判の対象となった。疑わしいURLを使用してWordPressサイトをセットアップし、同様のドメインを保護できず(さらに顧客をこれらのドメインの1つに誘導する)、コールセンターに適切にスタッフを配置せず、一般的に機密データを収集、保護、販売するために存在する会社は、データベースに対するサイバー攻撃に対してまったく準備ができていなかったという印象。 オクラホマ共和党員のマークウェイン・マリンは、スミスに、火災警報器を引くようなものであるべきだと語った。 スミスは、彼のチームは「プロトコルに従いました」と答えました。 いくつかの代表者は、スミスが8月に不正を「巨大な機会」および「大規模で成長しているビジネス」として説明するスピーチをしたと述べました。
スミスは、攻撃の原因に関する質問(州の攻撃者である可能性があるかどうかなど)への回答を拒否しました。 彼は、FBIが調査を実施していると単純に言いました。 彼は在任中にサイバーセキュリティへのEquifaxの投資を擁護し、12年前に到着したとき、データ保護への投資は事実上なかったと述べました。 スミス氏によると、同社は25億ドルを費やし、225人のチームを雇って企業のデータを保護し、企業のIT予算の業界標準の10〜14%をサイバーセキュリティに投資しています。
一部の代表は、この違反により、信用監視業界の役割と消費者の権利に関する基本的な疑問が明らかになったことを示した。 「Equifaxを選択したい場合はどうしますか?」 シャコフスキーは尋ねた。 スミス氏は、「信用報告機関の役割については、より広範な議論が必要です」と答えました。 ニューヨークの民主党員であるトンコ議員は、彼が本当に「顧客」ではなく、エクイファックスと取引することを一度も選択したことがないことを指摘して、感情を反映しました。 「なぜこの会社は存続し続けられるのですか?」 彼は尋ねた。 さまざまな時点で、スミスは身元を証明する方法として社会保障番号の価値に疑問を投げかけ、「消費者に力を与える」ことを曖昧に言及しました。
その日の最大の質問は、カリフォルニア民主党のドリス松井氏から来ました。「自分のデータを所有していますか?」 スミスは答えられませんでした。 ( ブロックチェーンがあなたを作ることができます-Equifaxではなく-あなたのデータの所有者。 )