Anthemの顧客データが暗号化されていなかった件

どうも、コンニチハ、AKIhiroです。

米大手医療保険会社のAnthemのデータベースがハッキング被害にあったようだ。

被害内容としては、約8000万人もの顧客および従業員の個人情報を盗み出されたそうだ。

ここまでなら、普通の(表現が正しいかは別として)セキュリティニュースなのだが、その後の事実に驚いたので紹介する

 

ハッキング被害のAnthem、顧客データを暗号化していなかったことが明らかに

理にかなったセキュリティポリシーに従う企業は通常、自社のサーバに保存された顧客データの一部を暗号化する。データを暗号化することで、ハッカーが盗み出した情報を閲覧したり、売却したりすることが、不可能ではないにせよ、より困難になる。しかし、この点に関して、Anthemはそうしたガイドラインに従っていなかった。それはなぜなのだろうか。

米連邦法「医療保険の相互運用性と説明責任に関する法律(HIPAA)」の下で、健康保険会社は自社のサーバに保存されたデータの暗号化を義務づけられていない。HIPAAの規定では、暗号化はリスクを軽減する適切な手段だと保険会社が判断した場合に暗号化を用いることを推奨している。しかし、具体的な要件がないので、データ保護手段の決定は事実上、それぞれの会社に委ねられている。

(引用元:CNET Japan

 

法律で定められてないから暗号化していないだと!?詳しくは、暗号化はリスクを軽減する適切な手段だと推奨されているが、具体的な要件がないから、各社に任せますよ、というような丸投げ状態だ。

個人情報をなんだと思っているんだ、といいたい。これでは、盗まれても「法律で義務化されていないので、違法じゃない」といっているようなもんだ。そんな企業が8000万もの個人情報を管理しているから恐ろしい。

挙句の果てに、広報担当者は、

「個人データが保存されている間は暗号化を行わないという。これは米保険業界では一般的な慣習だ」

「ハッカーは、当社のセキュリティプロトコルを迂回した後で、Anthemのデータベースにアクセスした。管理者の認証情報が用をなさなくなったので、暗号化を施していても攻撃を阻止することはできなかっただろう」

「暗号化によって、Anthemの従業員が保健医療の傾向を追跡したり、ヘルスケアプロバイダーや州政府とデータを共有したりすることが難しくなる」

(引用元:CNET Japan

などと述べている通り、これは、他の企業も行っていることだ!暗号化しても被害にあったので、体制の不備が問題ではない!暗号化すると他サービスと連携しづらくなるので仕方なかった!などという始末。。

これでは、ハッカーの思うつぼだ。セキュリティ被害を少なくする為にも、リスクを軽減する処置を行うことにもまして意識を変えていかなくてはならない、と感じた。

 

~~~~~~~~~~~~~~

WordPressのセキュリティ対策はKYUBIで万全!!

https://wp.kyubi.jp/

限られた予算でWEBアプリケーションがしたい!!って方はこちらまで

https://sas.kyubi.jp/

WEBサイトの高速化!

https://speed.kyubi.jp/

Windows Server 2003のサポート期間が終了します!!移行はこちらまで

https://win.kyubi.jp/

~~~~~~~~~~~~~~

【お知らせ】

弊社レオンテクノロジーにて、WEBセキュリティについてのセミナーを実施いたします。最新のセキュリティ攻撃の事情に着目し、セキュリティインシデントの例や、実際にどのように攻撃が行われているのかを実演し、対策方法についてご紹介いたします。

・Webアプリケーション対策をご検討の方
・Webアプリケーションについての対策を行っていない方
・最新の情報セキュリティに興味のある方
・情報セキュリティ担当を初めてされる方
以上の方、そうでない方もぜひ足を運んでみてください。

LINEで送る
Pocket

こんな記事も読まれています