サウスカロライナ州知事は、380万人の納税者の社会保障番号やクレジットカード、銀行口座のデータが漏洩した大規模なデータ侵害の一因として、国税庁の時代遅れの基準を非難した。
ニッキ・ヘイリー知事の火曜日の発言は、サウスカロライナ州歳入局(DOR)の職員がフィッシングメールの被害に遭い、同局のコンピューターから74.7GBのデータが盗まれたことが明らかになったことを受けて出された。
ヘイリー氏は記者会見で、1998年以降に電子申告した人が影響を受けたが、大半のデータは2002年以降のようだと述べた。
サウスカロライナ州はIRSの規則を遵守しているものの、IRSは社会保障番号の暗号化を義務付けていないと彼女は述べた。州は今後社会保障番号を暗号化し、より強力なセキュリティ管理を導入する税制改革を進めている。彼女はIRSに対し、社会保障番号の暗号化を義務付けるよう基準を改訂するよう促す書簡を送付したと述べた。
暗号化と強力なユーザーアクセス制御の欠如、そして1970年代の時代遅れの機器がDORシステムを攻撃に非常に適したものにしていたと彼女は述べた。
「今は1970年代の機器では作業できない時代です」とヘイリー氏は述べた。「連邦政府のコンプライアンス基準に従うことはできません。」
セキュリティ企業Mandiantが作成した報告書によると、職員のコンピュータがフィッシングメールを開いた後にマルウェアに感染したことが判明した。ハッカーは当該職員のユーザー名とパスワードを取得し、Citrixリモートアクセスサービスへのアクセスを可能にした。
そこから、ハッカーは6台のサーバーにユーザーアカウントのパスワードを盗み取る様々なツールをインストールしました。最終的に、ハッカーは34以上のシステムへのアクセスを獲得しました。Mandiantによると、ハッカーはパスワードダンプツール、管理ユーティリティ、バッチスクリプト、汎用データベースコマンドユーティリティなど、少なくとも33種類のユーティリティとマルウェアを使用していました。
ハッカーは7-Zipと呼ばれるユーティリティを使って情報を圧縮し、15個の暗号化されたアーカイブファイルを作成した。これらのファイルは、解凍すると74.7GBのデータを含んでいた。報告書によると、データはDOR内の別のサーバーに移され、最終的にはインターネット上の別のシステムに移されたという。
報告書によると、盗まれた23のデータベースファイルには、暗号化されたデータと暗号化されていないデータが混在していた。ハッカーは暗号化されたデータの暗号化キーのみを入手したようで、そのキーにはアクセスできなかった。しかし、他にも多数の平文データが存在していた。
ヘイリー氏によると、データには380万人の納税申告者の社会保障番号と190万人の扶養家族の情報が含まれていた。また、69万9900社の企業情報に加え、330万件の銀行口座と5000件のクレジットカード番号が漏洩したという。
サウスカロライナ州は被害者全員の身元を特定し、書面で通知する予定です。また、同州は被害者の信用情報を監視しているエクスペリアン社とも協力しています。
情報漏洩の結果、DOR局長のジム・エッター氏は12月31日付けで辞任する。後任には、現在サウスカロライナ州公務員給付局の事務局長を務めるビル・ブルーム氏が就任するとヘイリー氏は述べた。
