2017年のEquifaxデータ侵害
重大なサイバーセキュリティインシデント

2017年5月から7月にかけて、アメリカの信用調査会社 Equifaxが情報漏洩被害に遭いました。この情報漏洩では、1億4,790万人のアメリカ人、1,520万人のイギリス人、そして約1万9,000人のカナダ人の個人情報が漏洩し、個人情報窃盗に関連するサイバー犯罪としては過去最大規模の一つとなりました。Equifaxは7月末に情報漏洩を発見しましたが、2017年9月まで公表しませんでした。Equifaxは米国連邦取引委員会との和解において、被害を受けたユーザーに和解金と無料の信用調査サービスを提供することとなりました。

2020年2月、米国政府は、大規模な強盗の一環としてEquifaxにハッキングを行い機密データを盗み出したとして中国人民解放軍のメンバーを起訴したが、中国共産党はこれらの主張を否定した。[1] [2]

データ侵害

Equifaxの分析によると、この侵害でアクセスされた情報には、推定1億4,300万人のアメリカ人の氏名、社会保障番号、生年月日、住所、場合によっては運転免許証番号が含まれていた。[3]

約1,400万人の英国居住者の情報も漏洩した[4]ほか、8,000人のカナダ居住者の情報も漏洩した[5]。[ 6] [7] [8]さらに11,670人のカナダ人も影響を受けており、これは後にEquifaxによって明らかにされた。[9]約209,000人の米国消費者のクレジットカード番号と、約182,000人の米国消費者の個人情報を含む特定の紛争文書もアクセスされた[10] 。 [11]

背景

2015年に実施されたEquifaxの内部監査では、未解決の脆弱性が大量に蓄積されていることが明らかになりました。監査の結果、Equifaxは自社のパッチ適用スケジュールを遵守しておらず、ITスタッフは包括的な資産インベントリを欠いており、IT資産の重要度に基づいてパッチの優先順位付けを行っていなかったことが判明しました。さらに、パッチ適用プロセスは厳格な強制執行のない、勝手な判断によるものでした。報告書ではセキュリティ対策の改善策が概説されていましたが、2年後の侵害発生時には、多くの対策が実施されていませんでした。[12]

ウェブアプリケーションフレームワークであるApache Struts重要なセキュリティパッチは重大なセキュリティ脆弱性が特定された後、2017年3月7日にリリースされ、フレームワークのすべてのユーザーに即時更新が促されました。[13]セキュリティ専門家は、2017年3月10日には、正体不明のハッカーグループがStrutsを更新していないウェブサイトをスキャンしていることを検出しました。[14]

侵入

Equifaxのデータ侵害は2017年5月12日に始まったが、当時Equifaxはまだ信用紛争ウェブサイトをApache Strutsの最新バージョンに更新していなかった。[15] [16]この脆弱性を悪用して、ハッカーはEquifaxの企業ネットワーク内にある内部サーバーにアクセスした。最初に、彼らはEquifax従業員の内部認証情報を入手し、承認されたユーザーとして見せかけながら信用監視データベースにアクセスし、照会できるようにした。暗号化を使用して検索をさらに隠蔽し、ハッカーはデータベースを9,000回以上スキャンした。彼らは情報を小さな一時アーカイブに抽出し、検出を逃れるためにEquifaxサーバーからそれらを持ち出し、抽出後にアーカイブを削除した。[17]侵入は2017年7月29日にEquifaxが侵害を発見するまで76日間検出されずに続いた。[18] [3] [11] この侵害は、デフォルトのユーザー名とパスワードが「admin」であったこと、そして高アクセス権限アカウントに二要素認証が設定されていなかったことが大きな要因でした。これにより、ハッカーは適切な認証情報を用いてアクセスし、サーバー上での攻撃を続行しながら検出を回避できました。このことと、その他の重大なセキュリティ違反が、2019年の集団訴訟の根拠となりました。[19]

発見

2017年7月29日、Equifaxの社内ITチームは、受信および送信ネットワークトラフィックを監視するアプリケーションのSecure Sockets Layer (SSL)証明書を更新しました。このSSL証明書により、アプリケーションは送信トラフィックを復号化し、分析できるようになりました。[20]新しいSSL証明書がインストールされると、アプリケーションはEquifaxの従業員に不審なネットワークアクティビティを警告しました。この証明書は9ヶ月前に有効期限が切れていました。[21]

7月30日までに、Equifaxはエクスプロイトをシャットダウンしました。[14]侵害の際には、20か国以上にある少​​なくとも34台のサーバーが様々な時点で使用されており、犯人の追跡を困難にしました。[17] Apache Strutsの更新が不十分だったことは重大な問題でしたが、侵害の分析により、インシデントの一因となった追加のセキュリティ上の脆弱性が特定されました。これには、十分なセグメンテーションを欠いた安全でないネットワーク設計、[22]個人識別情報(PII)暗号化が不十分である可能性、 [23]および効果のない侵害検出メカニズムが含まれます。[24]

開示と短期的な対応

2017年9月7日、Equifaxは情報漏洩とその範囲を明らかにしました。その影響範囲は1億4000万人以上のアメリカ人に及んでいました。[25] VentureBeatは、1億4000万人以上の顧客データの漏洩を「史上最大のデータ漏洩の一つ」と呼びました。[26] Equifaxの株価は、情報漏洩が公表された翌日の早朝取引で13%下落しました。[27]多くのメディアは、情報漏洩の影響を軽減するために、消費者に信用凍結を申請するよう勧告しました。[28] [29] [30] [31]

2017年9月10日、エキファックスが情報漏洩を公表した3日後、エキファックスから2000ドルの選挙資金を受け取っていたバリー・ラウダーミルク下院議員(共和党、ジョージア州選出)は、 [32] [33]集団訴訟における損害賠償額の上限を、集団の規模や損失額に関わらず50万ドルに制限することなど、国の信用調査機関に関する消費者保護を縮小する法案を米国下院に提出した。 [34]この法案はまた、懲罰的損害賠償を全て廃止する[34] [35]消費者擁護団体からの批判を受け、ラウダーミルク下院議員は「エキファックスの情報漏洩に関する完全かつ徹底的な調査が完了するまで」法案の審議を延期することに同意した。[34]

9月15日、エキファックスは最高情報責任者(CIO)と最高セキュリティ責任者(CSO)の即時退任と後任を発表する声明を発表した。[11] [36]声明には、侵入の詳細、消費者への潜在的な影響、そして同社の対応が箇条書きで記載されていた。同社は、侵入に関する社内調査のため、8月2日にサイバーセキュリティ企業マンディアント社を雇用したと述べた。声明では、米国政府当局にいつこの侵害が通知されたかは明らかにされていないが、「当社は引き続きFBIと緊密に協力して捜査に取り組んでいる」と強調した。[11]

9月26日、エキファックスは57歳のリチャード・スミスCEOの退任を発表した。スミス氏は新CEOへの移行を支援するために無給の顧問として残ることに同意した。[37] [38]

9月28日、エキファックスの新CEO、パウリーノ・ド・レゴ・バロス・ジュニア氏は、エキファックスに対する批判に対し、2018年初頭から「すべての消費者に個人信用データへのアクセスを制御するオプション」を提供し、このサービスを「生涯無料で提供する」と約束した。[39]

10月26日、エクイファックスはテクノロジー担当幹部のスコット・A・マクレガー氏を取締役会に任命した。取締役会長は、この人事異動を発表するにあたり、マクレガー氏の「データセキュリティ、サイバーセキュリティ、情報技術、そしてリスク管理における豊富な経験」に言及した。[40] [41] ウォール・ストリート・ジャーナル紙は、マクレガー氏が取締役会のテクノロジー委員会に加わったと報じた。同委員会はサイバーセキュリティの監督も担当している。[42]

余波

2017年9月の最初の開示以来、Equifaxはアクセスされたことが判明した記録の数を拡大しました。Equifaxは、2017年10月と2018年3月の両方で、それぞれ250万件と240万件のアメリカの消費者記録が追加でアクセスされ、合計1億4,790万件に達したと報告しました。[43] [44] Equifaxは2017年10月に、侵害の影響を受けた英国の消費者の推定数を1,520万人に絞り込み、[45] [46]そのうち693,665人の機密個人データが漏洩しました。[47] [48] [45] [49] [46] Equifaxはまた、攻撃で侵害された運転免許証の数を1,000万~1,100万件と推定しました。[50] [51] [52]

セキュリティ専門家は、侵害によって得られた利益の高い個人データが闇市場ダークウェブで転売されると予想していたが、2021年5月現在、このデータが売却された兆候はない。[1]侵害後17か月間はデータがすぐに現れなかったため、セキュリティ専門家は、侵害の背後にいるハッカーが、侵害の直後には情報が「ホット」になりすぎるため、情報を売却する前にかなりの時間を待っていたか、侵害の背後に国家があり、スパイ活動など金融以外の方法でデータを使用する計画を立てていたと推測した。[53]

訴訟と罰金

情報漏洩が発覚した数日後、Equifaxに対して多数の訴訟が提起された。[54] [55]ある訴訟では、法律事務所Geragos & Geragosが最大700億ドルの損害賠償を求める意向を示しており、これは米国史上最大の集団訴訟となるだろう。 [54] 2017年10月以来、数百人の消費者がEquifaxをデータ漏洩で訴えており、中には実際の損害、将来の損害、不安、監視料金、懲罰的損害賠償などを含めて9,000ドルを超える少額訴訟で勝訴したケースもある。[56]

2017年9月、当時消費者金融保護局(CFPB)局長だったリチャード・コードレイ氏は、被害を受けた消費者を代表してデータ漏洩の調査を承認した。しかし、2017年11月、トランプ大統領によってコードレイ氏の後任に任命されたミック・マルバニー予算局長が、調査から「手を引き」、コードレイ氏が計画していたエキファックスのデータ保護方法に関する現地調査の計画を棚上げしたとロイター通信は報じた。CFPBはまた、連邦準備銀行連邦預金保険公社、通貨監督庁といった銀行規制当局が信用情報機関への立ち入り調査への協力を申し出たのを拒否した。[57] 2018年2月にエキファックスの情報漏洩に関する報告書を発表したエリザベス・ウォーレン上院議員は、マルバニー氏の行動を批判し、「ミック・マルバニー氏が消費者庁によるエキファックスの情報漏洩に関する調査を潰そうとしている最中に、我々はこの報告書を発表する。ミック・マルバニー氏はまたもや消費者に中指を立てている」と述べた。[58]

2019年7月22日、エキファックスは連邦取引委員会(FTC)、CFPB(消費者保護局)、米国48州、ワシントンD.C.、プエルトリコとの和解に合意しました。これは、被害を受けた個人への損害を軽減し、将来同様の違反を回避するための組織変更を行うことを目的としています。和解費用には、被害者補償基金への3億ドル、合意に至った州および準州への1億7,500万ドル、CFPBへの1億ドルの罰金が含まれています。[59] 2019年7月、FTCは、被害を受けた個人がEquifaxBreachSettlement.comというウェブサイトを利用して被害者補償基金に請求を行う方法に関する情報を公開しました。[60]

英国では、金融行動監視機構が英国の消費者の情報を保護しなかったとして11,164,400ポンドの罰金を科した。[61]

加害者

アメリカ合衆国司法省は2020年2月10日、ハッキングに関連する9つの罪で中国軍の隊員4人を起訴したと発表したが、その後中国がハッキングのデータを使用したという追加証拠は出ていない。[62] [63] [64]中国政府は、被告4人がハッキングに関与したことを否定した。[1]

批判

2017年5月から7月にかけて発生した情報漏洩の発表後、Equifaxの対応は広く批判を浴びました。Equifaxは、PINコードやその他の機密情報が漏洩したかどうかを直ちに公表せず、7月の情報漏洩発見から9月初旬の公表までの遅延についても説明しませんでした。[65] Equifaxは、この遅延は、侵入の範囲と関連する個人データの量の多さを特定するのに時間を要したためであると述べています。[66]

また、エキファックスの幹部3人が、同社が情報漏洩を発見した数日後、情報漏洩が公表される1か月以上前に、個人保有の同社株約180万ドル分を売却していたことも明らかになった。[67]同社は、最高財務責任者(CFO)のジョン・ギャンブル氏を含む幹部らは、[68] [27]「株式を売却した時点では、侵入があったことを知らなかった」と述べている。[69] 9月18日、ブルームバーグは、米国司法省がインサイダー取引法違反の有無を判断するための捜査を開始したと報じた。 [70]「ブルームバーグが指摘しているように、これらの取引は事前に予定されていたものではなく、同社がハッキングを知ってから3日後の8月2日に行われた」。

Equifaxは自社システムへの侵入を公表した際、消費者が侵害の被害者かどうかを確認できるウェブサイト(https://www.equifaxsecurity2017.com [71] )を提供した。セキュリティ専門家はすぐに、このウェブサイトがフィッシングサイトと多くの共通点があることに気づいた。Equifaxに登録されたドメインでホストされておらず、TLS実装に欠陥があり、一般的に高セキュリティアプリケーションには適さないと考えられているWordPressで実行されていた。これらの問題により、 OpenDNSはこれをフィッシングサイトに分類し、アクセスをブロックした。[72]さらに、Equifaxのウェブサイトを使用して自分のデータが侵害されたかどうかを確認したい一般の人々は、姓と社会保障番号の6桁を入力する必要があった。[73]

個人情報が漏洩していないか確認するために設置されたウェブサイト(trustedidpremier.com)は、セキュリティ専門家などによって、正確な情報ではなく、明らかにランダムな結果を返すと判断されました。[73] https://www.equifaxsecurity2017.comと同様に、このウェブサイトもフィッシングサイトのように登録・構築されており、いくつかのウェブブラウザでそのようにフラグが付けられました。[74]

Trusted ID Premierのウェブサイトには、2017年9月6日(Equifaxがセキュリティ侵害を発表する前日)の利用規約が掲載されており、そこには集団訴訟の放棄を含む仲裁条項が含まれていた。 [75] [76]弁護士らは、この仲裁条項は曖昧で、この条項に同意した消費者はサイバーセキュリティインシデントに関連する請求を仲裁しなければならない可能性があると述べた。[76] Polly Mosendz氏とShahien Nasiripour氏によると、「Equifaxのウェブサイトを使用して自分の情報が侵害されたかどうかを確認するだけで、仲裁に拘束されるのではないかと懸念する人もいた」という。[77] equifax.comのウェブサイトには、仲裁条項と集団訴訟の放棄を含む別の利用規約があるが、ワシントンポストのブライアン・ファン氏によると、「それが信用監視プログラムに適用されるかどうかは不明である」という。[78]ニューヨーク州司法長官エリック・シュナイダーマン氏はEquifaxに対し、この仲裁条項を削除するよう要求した。[79]仲裁に関する懸念を受けて、Equifaxは9月8日に声明を発表し、「消費者からの問い合わせに対し、EquifaxおよびTrustedID Premierの利用規約に含まれる仲裁条項および集団訴訟の放棄は、今回のサイバーセキュリティインシデントには適用されないことを明確にしました」と述べた。[79]データ保護弁護士のジョエル・ウィンストン氏は、利用規約において仲裁条項が当事者間の「完全な合意」であると明記されているため、仲裁条項を放棄する発表は「何の意味もない」と主張した。[79]その後、この仲裁条項はequifaxsecurity2017.comから削除され、[79] equifax.comの利用規約は9月12日に修正され、www.equifaxsecurity2017.com、www.trustedidpremier.com、またはwww.trustedid.comには適用されないことが明記され、これらのサイトまたはセキュリティ侵害に起因する請求は仲裁の対象から除外された。[80] [81]

国民の怒りが続く中、[82]エキファックスは2017年9月12日に「今後30日間、セキュリティフリーズ料金を免除する」と発表した。[83] [84]

Equifaxは、サイト名に「」のサブドメインではなく新しいドメイン名を登録したことで、セキュリティ専門家から批判を受けているequifax.com。2017年9月20日、Equifaxが少なくとも8つの別々のツイートで自社の侵害通知サイトではなく、非公式の「偽」ウェブサイトに誤ってリンクしていたことが報じられた。このリンクは、偽サイトへの20万件のアクセスを無意識のうちに助長したとされている。ニック・スウィーティングというソフトウェアエンジニアは、公式サイトがフィッシングサイトと簡単に混同される可能性があることを示すために、この無許可のEquifaxウェブサイトを作成した。[85]スウィーティングのサイトは、訪問者に対して公式ではないことを率直に示していたものの、機密情報を入力した訪問者には「あなたは騙されました!ここは安全なサイトではありません何千人もの人々がフィッシングサイトに情報を奪われる前に、@equifaxにツイートしてequifax.comに変更するよう促してください!」と警告していた。 Equifaxは「混乱」を招いたことを謝罪し、このサイトにリンクするツイートを削除した。[86] [87] [88]

参照

参考文献

  1. ^ abc 「Equifaxのクレジットハッキングデータは「最終的にブラックマーケットに流出する可能性がある」と専門家が警告」CBSニュース、2020年2月11日。 2020年2月11日閲覧
  2. ^ 「Equifaxの大規模情報漏洩で中国軍人4名が起訴」ウォール・ストリート・ジャーナル2020年2月11日 . 2020年4月28日閲覧
  3. ^ ab Haselton, Todd (2017年9月7日). 「信用調査会社Equifax、サイバーセキュリティインシデントが米国消費者1億4,300万人に影響を与える可能性があると発表」cnbc.com . 2017年9月8日閲覧
  4. ^ 「FCA最終通知2023」(PDF) .
  5. ^ Shepardson, David (2017年10月2日). 「Equifax、3月にセキュリティ脆弱性を修正できず:元CEO」ロイター. ロイター. 2017年10月3日閲覧
  6. ^ Hern, Alex (2017年9月8日). 「Equifax、データ侵害後に英国民にリスクがあるかどうかを通知するよう指示」ガーディアン紙. 2017年9月11日閲覧
  7. ^ Isai, Vjosa (2017年9月7日). 「Equifaxハッキング事件で影響を受けた1億4,300万人の中にカナダ人が含まれる」.トロント・スター紙. Equifaxは声明で、ハッカーは氏名、社会保障番号、生年月日、住所、運転免許証番号を標的にしたと述べた。カナダと英国の居住者の「限定的な個人情報」もアクセスされたという。
  8. ^ Ligaya, Armina (2017年9月19日). 「Equifax、10万人のカナダ人がサイバー攻撃の影響を受けたと発表」CTVNews . 2017年9月21日閲覧
  9. ^ 「Equifaxの侵害被害を受けたカナダ人の数が倍増、現在19,000人以上|CBCニュース」CBC . 2018年6月23日閲覧
  10. ^ 「サイバーセキュリティインシデントと重要な消費者情報 | Equifax」。サイバーセキュリティインシデントと重要な消費者情報2017年9月7日閲覧。
  11. ^ abcd 「Equifax、サイバーセキュリティインシデントの詳細を発表、人事異動を発表」investor.equifax.com . 2017年9月16日閲覧
  12. ^ 米国上院常設調査小委員会、国土安全保障・政府問題委員会、「Equifaxはいかにしてサイバーセキュリティを怠り、壊滅的なデータ侵害を受けたか」、2019年3月6日。非公開。
  13. ^ “CVE-2017-5638 - Apache Struts2 S2-045 #8064”. GitHub . 2017年3月7日. 2017年9月16日閲覧
  14. ^ ab Ng, Alfred (2018年9月7日). 「Equifaxハッキング事件の経緯と今後の対応」CNet . 2020年2月11日閲覧
  15. ^ ザック・ウィテカー「Equifax、データ漏洩の原因はパッチ未適用のApache Strutsの欠陥だったと確認」ZDNet 2017年9月14日閲覧
  16. ^ 「2か月前のバグを修正できなかったため、Equifaxで大規模な情報漏洩が発生した」Ars Technica、2017年9月14日。 2017年9月14日閲覧
  17. ^ ab Bomey, Nathan (2020年2月10日). 「中国軍のハッカーがEquifaxのデータ侵害を成功させ、1億4500万人のアメリカ人のデータを盗んだ」USA Today . 2020年2月11日閲覧
  18. ^ Equifax(2017年9月7日)、Equifax会長兼CEOのリック・スミス氏による消費者データに関するサイバーセキュリティインシデントに関する発言。2017年9月12日閲覧。
  19. ^ 「Equifaxは社内でユーザー名とパスワードに「admin」を使用していた」。2025年4月4日。
  20. ^ 「ケーススタディ:Equifaxのデータ侵害」。2021年4月30日。
  21. ^ イリヤ・カバノフ、スチュアート・E・マドニック「Equifaxサイバーセキュリティインシデントにおける管理の失敗に関する体系的研究」(2020年)。MITスローン研究論文番号2020-19、SSRNで入手可能:https://ssrn.com/abstract=3957272 または http://dx.doi.org/10.2139/ssrn.3957272
  22. ^ ニューマン、リリー・ヘイ「次なる止められない大規模侵害を阻止する方法、あるいはその進行を遅らせる方法」WIRED . 2017年9月29日閲覧
  23. ^ ギャラガー、ショーン. 「Equifaxのハッカーが取引履歴から20万枚のクレジットカードデータを盗む」Ars Technica . 2017年9月29日閲覧
  24. ^ ロマス、ナターシャ. 「Equifaxの侵害開示は、欧州の厳しい新規則に違反していただろう」. TechCrunch . 2017年9月29日閲覧
  25. ^ マシューズ、リー. 「Equifaxのデータ侵害、1億4,300万人のアメリカ人に影響」. Forbes . 2019年8月28日閲覧
  26. ^ 「クラウドの終焉が近づいている」、VentureBeat、Victor Charypar、2017年11月4日
  27. ^ ab Melin, Anders (2017年9月7日). 「Equifaxの3人のマネージャーがサイバーハッキング発覚前に株式を売却」Bloomberg.com . 2017年9月8日閲覧
  28. ^ 「Equifaxデータ侵害を乗り切るためのガイド」CNET 2017年9月12日閲覧
  29. ^ リーバー、ロン(2017年9月10日)「エキファックスの情報漏洩後、次に心配なのはPINコードの脆弱性」ニューヨーク・タイムズ。 2017年9月12日閲覧
  30. ^ 「データ侵害後に信用情報を停止する方法」The Verge . 2017年9月12日閲覧
  31. ^ ブライアン・ファング(2017年9月9日)「Equifaxの情報漏洩後、信用情報を凍結して個人情報を守る方法」ワシントン・ポスト
  32. ^レビン・ベス(2017年9月12日)「Equifax ハッキングされる直前に規制撤廃をロビー活動」Vanityfair.com
  33. ^ 「Equifax Incによる連邦選挙候補者への寄付、2016年選挙サイクル」Opensecrets.org
  34. ^ abc ワイズバウム、ハーブ、「共和党議員、信用調査会社に対する規制の撤回を要求」NBCニュース、2017年9月11日、2017年9月18日閲覧
  35. ^ ラザルス、デイビッド(2017年9月19日)「エキファックスのハッキング事件にもかかわらず、共和党議員は信用機関の規制緩和を望んでいる」ロサンゼルス・タイムズ。 2017年9月20日閲覧
  36. ^ Shaban, Hamza (2017年9月15日). 「Equifaxの幹部2名が大規模データ侵害を受けて退職へ」ワシントン・ポスト. ISSN  0190-8286 . 2017年9月17日閲覧
  37. ^ 「Equifax会長兼CEOのリチャード・スミスが退任。取締役会は現取締役のマーク・ファイドラーを会長に任命。パウリーノ・ド・レーゴ・バロス・ジュニアが暫定CEOに任命。同社はCEOの選考を開始」Equifax Investor Relatons . 2024年11月23日閲覧
  38. ^ Rushe, Dominic (2017年9月26日). 「Equifaxのリチャード・スミス最高経営責任者、大規模データ侵害を受け辞任」. The Guardian . 2024年11月23日閲覧
  39. ^ 「エキファックスの新CEO、消費者に『誠実かつ全面的な謝罪』」2017年9月28日。 2017年10月20日閲覧
  40. ^ 「Equifax、スコット・マクレガー氏を新独立取締役に任命」(プレスリリース)。ジョージア州アトランタ:Equifax。2017年10月26日。 2020年6月20日閲覧– PRNewswire経由。
  41. ^ 「サイバーセキュリティ専門家スコット・マクレガーがEquifaxの取締役に就任」www.equilar.com 2017年11月6日2020年6月21日閲覧
  42. ^ キム・S・ナッシュ、ジョアン・S・ルブリン、アンナマリア・アンドリオティス(2018年1月10日)「取締役会、ハッカー阻止におけるより大きな役割を模索:エクイファックスの侵害をきっかけにサイバーセキュリティ監視の広範な再評価が始まったと専門家は語る」ウォール・ストリート・ジャーナル。 2020年6月20日閲覧
  43. ^ ワイズ、エリザベス、ボメイ、ネイサン(2017年10月2日)「Equifaxの侵害、当初の想定より250万人多いアメリカ人に影響」USAトゥデイ。 2017年10月4日閲覧
  44. ^ 「Equifaxデータ漏洩訴訟」、Morgan & Morgan
  45. ^ ab 「Equifax、サイバー侵害で英国の記録1520万件が流出」ロイター2017年10月10日 . 2017年10月11日閲覧
  46. ^ ab 「Equifaxサイバーインシデントに関する最新情報 - NCSCサイト」www.ncsc.gov.uk . 2017年10月13日閲覧
  47. ^ 「Equifaxのハッカーが英国住民693,665人の情報を盗む — Krebs on Security」krebsonsecurity.com 2017年10月10日. 2017年10月11日閲覧
  48. ^ スタッフ、各機関(2017年10月11日)。「サイバー攻撃で約70万人の英国人の個人情報がハッキングされる」Theguardian.com 。 2017年10月11日閲覧
  49. ^ 「Equifaxのハッキングで英国の顧客694,000人が被害」bbc.co.uk 2017年10月10日2017年10月11日閲覧
  50. ^ 「Equifaxの情報漏洩で1100万人のアメリカ人の運転免許証データが流出」www.msn.com . 2017年10月13日閲覧
  51. ^ Chin, Monica (2017年10月11日). 「Equifaxのハッカーは1000万件の運転免許証を入手した」Mashable.com . 2017年10月13日閲覧
  52. ^ 「Equifaxのハッカーが1000万人のアメリカ人の運転免許証情報を入手」Cnet.com 2017年10月13日閲覧
  53. ^ Fazzini, Kate (2020年2月13日). 「Equifaxの大ミステリー:17ヶ月経っても盗まれたデータは見つからず、専門家はスパイ活動の疑いを持ち始めている」CNBC . 2020年2月11日閲覧
  54. ^ ab Mills, Chris (2017年9月8日). 「Equifaxはすでに史上最大の集団訴訟に直面している」bgr.com . 2017年9月8日閲覧
  55. ^ Thadani, Trisha (2017年9月13日). 「Equifaxに対する訴訟がサンノゼ連邦裁判所に提起される」SFGate.com . 2017年9月13日閲覧
  56. ^ 「Equifaxを小額訴訟で訴え、勝訴する人々」finance.yahoo.com 2018年1月31日。
  57. ^ パトリック・ラッカー、「米国消費者保護当局、エキファックスの調査を凍結」ロイター、2018年2月5日、2018年2月16日閲覧
  58. ^ スチュワート、エミリー(2018年2月7日)「エリザベス・ウォーレン下院議員、ユーザーの信用データがハッキングされた件でエキファックスは「逃げおおせる」可能性があると警告」Vox . 2018年2月16日閲覧。
  59. ^ 「Equifax、2017年のデータ侵害に関するFTC、CFPB、および州との和解の一環として5億7500万ドルを支払う」連邦取引委員会2019年7月19日. 2019年7月25日閲覧
  60. ^ 「Equifaxデータ漏洩和解」連邦取引委員会2019年7月11日. 2019年7月25日閲覧
  61. ^ 「FCA最終通知2023」(PDF) .
  62. ^ ベナー、ケイティ(2020年2月10日)「米国、2017年のEquifaxハッキングで中国軍将校を起訴」ニューヨーク・タイムズ。 2020年2月10日閲覧
  63. ^ Mariam, Baksh (2020年2月10日). 「中国軍将校がEquifaxをハッキングしたと司法省が発表」. www.defenseone.com . Defense One . 2020年2月25日閲覧
  64. ^ 「米国は中国軍がEquifaxをハッキングしたと発表。その方法は次の通り」。
  65. ^ 「1億4,300万人のアメリカ人の個人情報が大規模に漏洩した後、Equifaxが抱える6つの未解決の疑問」2017年9月8日。 2017年9月8日閲覧
  66. ^ 「サイバーセキュリティインシデントと重要な消費者情報」equifaxsecurity2017.com Equifax 2017年 2017年9月13日閲覧
  67. ^ Melin, Anders (2017年9月7日). 「Equifaxの3人のマネージャーがサイバーハッキング発覚前に株式を売却」Bloomberg.com . 2017年9月7日閲覧
  68. ^ Solon, Olivia (2017年9月7日). 「クレジット会社Equifax、ハッキングで1億4,300万人のアメリカ人の社会保障番号が流出したと発表」The Guardian . 2017年9月11日閲覧
  69. ^ モーリー、ケイティ(2017年9月8日)「Equifaxハッキング:米国の大規模データ侵害で英国人4400万人の個人情報が盗まれた恐れ」デイリー​​・テレグラフ。 2017年9月9日閲覧
  70. ^ 「Equifaxの株式売却が米刑事捜査の焦点」Bloomberg.com 2017年9月18日. 2017年9月18日閲覧
  71. ^ バーニー、アンナ. 「Equifaxハッキングに関する6つの噂を事実確認」. CNNMoney . 2017年9月12日閲覧
  72. ^ 「なぜEquifaxの情報漏洩は史上最悪の個人情報漏洩となるのか」CNBC . 2017年9月10日閲覧
  73. ^ ab 「Equifaxのハッキングチェッカーは大混乱――対処法はこれだ」Cnet.com . 2017年9月10日閲覧
  74. ^ Krebs, Brian. "Equifax or Equiphish? — Krebs on Security". krebsonsecurity.com. Retrieved October 13, 2017.
  75. ^ Chacos, Brad (September 8, 2017). "Equifax hack: How to know if you're affected". PCWorld. Retrieved September 13, 2017.
  76. ^ a b Robertson, Adi (September 8, 2017). "Can you join a class action suit if you use Equifax's free identity theft protection?". The Verge.
  77. ^ Mosendz, Polly; Nasiripour, Shahien (September 8, 2017). "Equifax's Hacking Nightmare Gets Even Worse For Victims". Bloomberg.com. Retrieved September 13, 2017.
  78. ^ Fung, Brian (September 8, 2017). "By signing up on Equifax's help site, you risk giving up your legal rights". chicagotribune.com. Retrieved September 13, 2017.
  79. ^ a b c d "Equifax finally responds to swirling concerns over consumers' legal rights". The Washington Post. Retrieved September 8, 2017.
  80. ^ Equifax. "Frequently Asked Questions - Cybersecurity Incident & Important Consumer Information | Equifax". 2017 Cybersecurity Incident & Important Consumer Information. Retrieved February 16, 2018. When were the Terms of Use for TrustedID Premier updated? ... We updated the Equifax product Terms of Use on www.equifax.com on September 12, 2017 to state that those terms do not apply to the TrustedID Premier product or the cybersecurity incident
  81. ^ Equifax (September 12, 2017). "Terms of Use". equifax.com. Archived from the original on September 15, 2017. Retrieved February 16, 2018.
  82. ^ "What Equifax owes us all: A free credit freeze at all agencies, for starters, and loads of answers". New York Daily News. September 12, 2017. Retrieved September 13, 2017.
  83. ^ Kirsch, Melissa (September 12, 2017). "Equifax Is Waiving Their Credit-Freeze Fees for 30 Days". lifehacker. Retrieved September 13, 2017.
  84. ^ Hatmaker, Taylor (September 12, 2017). "Equifax says that it will waive credit freeze fees for 30 days". TechCrunch.
  85. ^ Sweeting, Nick. "Equifax Security Incident (2017)". Archived from the original on August 24, 2024.
  86. ^アスター、マギー(2017年9月20日)「誰かが偽のEquifaxサイトを作り、Equifax  がそれにリンクを貼った」ニューヨーク・タイムズ。ISSN 0362-4331 。 2017年9月21日閲覧
  87. ^ 「Equifax、侵害被害者を偽の通知サイトに誘導」Ars Technica、2017年9月20日。 2017年9月21日閲覧
  88. ^ モース、ジャック. 「Equifaxは数週間にわたり、被害者を偽のフィッシングサイトに誘導してきた」. Mashable . 2017年9月21日閲覧
「https://en.wikipedia.org/w/index.php?title=2017_Equifax_data_breach&oldid=1325703724」より取得