First American Corporationのデータ流出事件で起こったこと

First American Corporation（ファースト・アメリカン・コーポレーション）のデータ流出事件は、顧客データの保護義務を怠った組織に対して規制当局が厳しく取り締まることへの呼び水となりました。

データ侵害もそうですが、保護されていない状態の顧客データをオンライン上で無防備のまま放置するのは、極めて軽率であり、組織の管理能力が疑われるものです。

First American Corporationのような組織から犯罪者がデータを盗む場合、最も被害が及ぶのは、取引先企業も含めた顧客です！

データ侵害の影響がビジネスに及んではいけません。TeamPassword を使って、企業のデジタル資産を保護しましょう。ぜひ今すぐ無料トライアルをお試しください。

First American Corporationとは

１８８９年にカリフォルニア州オレンジ郡に設立されたFirst American Corporationは、不動産業界の金融サービス企業です。

フォーチュン５００にも選ばれており、この会社の評価額は７５億ドル以上（２０２１年時点）、２万人弱の従業員数を誇ります。

その他、インド支店を含む複数の子会社があり、雇用者数は４,０００人以上にのぼります。

２０１９年のFirst American Corporationのデータ流出事件で起こったこと

First American Corporationのデータ流出事件は、企業の怠慢が招いたショッキングな事例です。ただ、幸いなことに、同社の顧客情報に関しては、犯罪者の手に渡ることなく済んだようです。

２０１９年５月、ワシントン州の不動産開発業者であるベン・ショーヴァル氏は、遡ること２００３年までの顧客データを含む約８億８５００万個のファイルを発見しました。

firstam.comでファイルを見つけるには、特定のURLを手に入れる必要がありました。しかし、URLがわかれば、あとはそのURLを増減させるだけで、他のデータにアクセスすることができたのです。

First American Corporationが流出させてしまったデータの多くは、不動産購入者と売却者の間で行われる電信取引の際に用いられた口座番号などの金融情報でした。

盗難ではなく流出！

First American Corporationのデータは誰でも自由にアクセスできましたが、同社の記録は「盗まれたわけではない」という点が重要です。

犯罪者がネットワークをハッキングして起こる「データ侵入」とは異なり、通常、「データ流出」は人為的なミスによって発生します。

ただ、同社のケースでは、IDOR（Insecure Direct Object Reference：安全でない直接オブジェクト参照）と呼ばれるウェブサイトの設定ミスによって、顧客が認証なしで個人情報を閲覧することができてしまったたのです。

まず、American Corporationのデータは配列が規則的なので、ショバル氏はURLの数字を変えるだけで、他の顧客データにアクセスすることができました。

First American Corporationのデータがいつまでオンラインで利用可能だったかは正確には不明ですが、archive.orgで検索したところ、同社のデータは２０１７年３月頃まで利用可能であったことが判明しました！

流出したデータの種類

ファイルのほとんどは、不動産の買い手と売り手のフォーム、ID、SSN（社会保障番号）、運転免許証、口座明細書、中小企業の社内情報、住所、電話番号、メールアドレス、その他の機密情報や文書など、書類の原本をスキャンしたものと考えらています。

これらの情報は、個人情報を盗んだり、スピアフィッシング攻撃（特定の組織や人物を狙い偽のメールを送って個人情報を集める標的型のフィッシング攻撃）やその他のソーシャルエンジニアリング攻撃を行う犯罪者にとって「宝の山」なのです。

早期警告は無視されていた！

２０１８年のペネトレーションテストでは、First American Corporationにデータ流出の可能性が指摘されていましたが、とんだ失態と管理上の不手際により、問題は修正されないままでした。

First American Corporationのデータ流出事件が及ぼした影響

フォーチュン５００にも選ばれるような企業であるFirst American Corporationが、これだけの怠慢を働いておいてお咎めなしなど許されないですよね。

この件に関して、ニューヨーク州金融サービス局は、２０１７年に施行された新しいサイバーセキュリティ規則に同社が違反していたことを明らかにしました。

それにより、First American Corporationは、新しいサイバーセキュリティ規則の下で法的措置を受けた最初の企業になり、ニューヨーク州金融サービス局に４８万７６１６ドルの罰金を払うこととなりました。

データ流出への備えはできていますか？

２０１９年のFirst American Corporationや２０２０年の CAM4 のようなデータ流出は、顧客をサイバー攻撃の深刻なリスクにさらすことになります。

このような個人情報は、犯罪者が企業や個人になりすましたり、さまざまなソーシャルエンジニアリング攻撃でターゲットにしたりするための手段となってしまいます。

スピアフィッシング攻撃

このような情報流出による最大のリスクは、犯罪者がスピアフィッシング攻撃を成功させるのに十分な個人情報を手に入れてしまう点です。

First American Corporationのデータを使って、犯罪者は銀行の業務を模倣したスピアフィッシング・メールを、同社を装って送ることも考えられます。

このメールには、銀行しか知らないような個人情報が含まれている可能性があり、それによって被害者は、犯罪者が被害者のデバイスやネットワークにアクセスするための不正なパッケージが中に含まれているリンクや添付ファイルを開いたりする可能性が高まります。

攻撃者はユーザーのデバイスに侵入すると、他のアカウント、デバイス、ネットワークにアクセスするためのデータやパスワードを盗みます。

システムやアカウントの完全な侵害を防ぐには、企業のパスワード保護が不可欠なのです！

TeamPasswordによるパスワードの保護

TeamPasswordは、チームメンバー間で安全に認証情報を共有するために、中小企業向けにデザインされたパスワードマネージャーです。

実際のログイン認証情報を共有する必要はなく、その代わりに、パスワードは全て安全に保存され、TeamPassword と共有されます。従業員は、TeamPassword のブラウザ拡張機能を使って、ブラウザに保存されたパスワードとまったく同じようにログインします。

２FA（二要素認証）を使うと、攻撃者がフィッシング攻撃によってチームメンバーのパスワードを盗んだとしても、TeamPassword アカウントへはアクセスできません。

パスワードの作成、保管、保存

TeamPassword にはパスワード生成機能が内蔵されているため、セキュリティのセキュリティの弱いパスワードや認証情報の使いまわしを心配する必要はなく、大文字、小文字、数字、記号を使った１２～３２文字のパスワードを作成することができます。

新しいパスワードが作成されると、TeamPassword が自動的に全ユーザーの新しい認証情報を更新するので、チームメンバーは中断することなく作業を続けることができます。

グループと共有

さまざまなアカウントにグループを作成し、必要な人にだけアクセスを提供することができます。

フリーランサーや請負業者と仕事をする場合、雇用期間中は彼らをグループに追加し、仕事が完了したら削除することができるので、チームメンバーが退社しても認証情報を変える必要はありません。

TeamPasswordのアクティビティを記録する

TeamPassword のアクティビティログでは、ログイン履歴の日付と時刻を確認することができます。また、TeamPassword のアクション全てに対してメール通知を設定できるので、最も重要なデータやアカウントを常に把握することができます。

認定された安全なホスティングプロバイダー

TeamPassword は最先端の暗号化技術を使用し、国際的に認められたセキュリティ認定をいくつか受けています。

‎当チームは定期的に脆弱性調査を行い、侵入や攻撃に対して万全の体制を整えています。

TeamPassword を無料でお試し！

データ侵害の犠牲者になってはいけません！１４日間の無料トライアルにサインアップして、今すぐTeamPasswordで会社のデジタル資産を保護しましょう!