10/03/2014

[IT biz] JPMorgan情報漏洩の範囲拡大、その無反省と怠慢

米銀行大手のJPMorgan Chaseで先日発覚した情報漏洩の件、被害範囲が当初の見積りから大幅に拡大され、個人7600万、小規模事業者700万件になる模様との事です。凄いですね。7月の発覚当初に発表された100万件というのは何だったのかと。しかもこれ銀行のアカウントですよ。

さらに酷いのが、サーバー90台が完全にハック(アドミニストレータ権限まで取得されて改竄され放題)された結果、同社内部の端末多数も改竄されてしまい、そのチェックと修正にはこれから数ヶ月が必要で、その間、すなわち今現在も、再侵入等が普通に可能な、セキュリティも何もあったものではない状態に置かれてしまってるんだとか。確かに、潜在的に全てのネットワーク接続された端末が汚染されたのなら、全部隔離する以外に防ぐ方法は無いわけですが、そうはなっていませんしね。クレイジーです。

本件自体、どう見ても終わっているんですけれども。確かJPMorganは去年もカード絡みでサイトがハックされて情報漏洩をやらかして、その際に監視体制も強化した事になっていた筈なんですが。。。何も出来ていなかったか、そもそも口だけで実際には何もしていなかったのか。まあ、今回のはアカウントを操作して直接口座から送金する類の処理は少なくともすぐに分かる程の規模ではなされなかった、との事ですから、単にその辺が対策の対象外だったって事なのかもしれませんね。であれば何ともお粗末な事です。

銀行といえどもITシステム自体は基本他のサービスと同じだし、脆弱性を突かれればハックされるのも当然ではあるのですが、本件は幾ら何でも酷すぎると思うのですよ。少しでも運用面で手当てがあれば、ここまでは到り得なかった筈なのですから。昨年からの経緯を鑑みても、改善が見込めるとは到底思えませんし、諦めて畳んだ方がいいんじゃないかと思う位です。まあ、自発的にどうこうせずとも、流石に顧客も流出するだろうし、集団訴訟等で被害の補償を迫られれば普通に傾きかねないんでしょうけどね。いやはや。

JPMorgan Chase Says More Than 76 Million Households Were Compromised in Cyberattack

JPMorgan warns 465,000 card users on data loss after cyber attack