画像: コムキャスト
大企業のセキュリティをハッカーが突破することは、現代社会における当たり前の出来事となり、自分たちに直接影響がない限り、私たちはそれを無視してしまうほどになっている。しかし、インターネットサービスプロバイダーのコムキャストの顧客にとっては、そう簡単にはいかないかもしれない。同社は2週間前に攻撃を受け、Xfinityユーザー3,590万人(米国人口の10%強)の顧客データが漏洩したと報じられている。しかし、さらなる懸念材料となるのは、今回の侵入を許したセキュリティ上の欠陥に対するコムキャストの明らかに怠慢な対応だ。
メイン州司法長官事務所に送られた通知によると、ハッカーはユーザー名、実名や住所などの連絡先情報、生年月日、ユーザーが選択したセキュリティの質問と回答、そして社会保障番号の下4桁にアクセスできたという。パスワードは盗まれたが、暗号学的にハッシュ化されていた。Ars Technicaによると、同社は現在も調査中であり、他にも盗まれた可能性があるという。
一体なぜこのような事態に至ったのでしょうか?Comcast社は、最初の漏洩を「10月16日から10月19日の間」に発見したと報告しています。これはCitrixネットワークハードウェアの重大なバグ「Citrix Bleed」によって引き起こされたものでした。この脆弱性は8月から「実在」し、悪用されていることが知られていましたが、ハードウェアには既に修正パッチが適用されていました。しかし、Comcast社とその顧客にとって残念なことに、同社はパッチが公開されてからほぼ2週間後の10月23日まで、ネットワークハードウェアへのパッチ適用を待っていました。この期間が、ハッカーが脆弱性を悪用してComcast社のシステムに侵入するのに必要な時間だったのです。
Citrix Bleed脆弱性の影響を受けた大企業はComcastだけではありません。後知恵は20/20です。しかし、このセキュリティ問題の注目度の高さと、Comcastが自社システムのセキュリティ対策に時間をかけてきたことを考えると、顧客がデータが盗まれたことに憤慨するのも当然かもしれません。Comcastは顧客に対し、パスワードのリセットと二要素認証の有効化を求めています。これ以上の大規模なデータ損失がないと仮定すれば、今回の収集は大きなリスクにはならないでしょう。統計的に見て、まさに同じデータポイントが盗まれ、犯罪者に利用可能になった経験は、私たち全員がこれまでに何度も経験しているのです。
著者: Michael Crider、PCWorld スタッフライター
マイケルはテクノロジージャーナリズムのベテランとして10年のキャリアを持ち、AppleからZTEまであらゆるテクノロジーをカバーしています。PCWorldではキーボードマニアとして活躍し、常に新しいキーボードをレビューに使用し、仕事以外では新しいメカニカルキーボードを組み立てたり、デスクトップの「バトルステーション」を拡張したりしています。これまでにAndroid Police、Digital Trends、Wired、Lifehacker、How-To Geekなどで記事を執筆し、CESやMobile World Congressなどのイベントをライブで取材してきました。ペンシルベニア州在住のマイケルは、次のカヤック旅行を心待ちにしています。
