ブリティッシュ・エアウェイズのハッキングは驚くほどひどい

WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。

大規模なデータ流出がもたらす影響はかつてないほど深刻です。5月25日よりEUの一般データ保護規則（GDPR）が施行され、データ侵害は巨額の罰金につながる可能性があります。私たちは、今年発生した最大のデータ侵害とプライバシー侵害、そしてそれらに起因する罰金をグラフ化しました。

ハッキングを受けたことを認めた最新の企業はブリティッシュ・エアウェイズで、同社は大規模な侵入を受け、顧客データが盗まれた。

このページでは、今年発生した最大のハッキング事件を追跡します。年が進むにつれて、注意すべき新たな問題についても更新していきます。

データ侵害：ブリティッシュ・エアウェイズ

日時： 8月21日から9月5日　発生日時：今夏2週間以上にわたり、ハッカーがブリティッシュ・エアウェイズのシステムに侵入しました。その間にba.comまたはアプリで予約、または変更を行った顧客の個人情報と金融情報が盗まれました。氏名、メールアドレス、クレジットカード情報が盗まれ、カード番号、有効期限、支払い承認に必要な3桁のCVCコードも盗まれました。約38万件の取引が影響を受けました。BAは「高度な」サイバー犯罪者集団による犯行だと主張しましたが、詳細は明らかにしませんでした。ウェブサイトには、利用者は銀行に連絡するよう呼びかけており、返金を受け、信用調査サービスの費用はBAが負担するとのことです。

データ侵害：Reddit

時期： 6月　人数： Redditは公表していない　何が起きたのか： Redditのシステムは6月に侵入されたと、サイトはブログ投稿で発表した。Redditのスタッフが二要素認証で送信されたテキストメッセージを使ってシステムにログインしようとしたところ、メッセージが傍受された。正体不明のハッカーはスタッフのアカウントを利用して、現在のRedditユーザーのメールアドレスと2007年のデータベースを盗み出した。Redditは、侵害されたメールアドレスの数を明らかにしていない。ユーザーにとっての懸念は、メールアドレスが漏洩し、匿名アカウントが実在の人物と紐付けられる可能性があることだ。

データ侵害：Timehop

時期： 7月　利用者数： 2100万人　経緯： Timehopはソーシャルネットワークに接続し、過去の懐かしい投稿を表示するサービスです。Facebookでは、過去の思い出をよみがえらせるために、過去に人気だった投稿を表示しています。しかし、同社は7月にサイバー攻撃が進行中であることを検知し、名前、メールアドレス、そして過去の投稿にアクセスするための「キー」が盗まれたことを発見しました。同社は、過去の投稿にアクセスするためのトークンの提供を遅らせたと述べています。

データ侵害：Polar Flow

いつ？： 7月　何が起きたのか？：フィットネスアプリ「Polar Flow」が、世界中の秘密基地内の軍人の位置情報を暴露した。1月のStravaデータプライバシー問題と同様に、研究者らは兵士の動きを監視できることを発見した。URLを変更すると、誰でも個人のワークアウトを見ることができる。

データ侵害：MyHeritage

時期： 2月～6月　人数： 9,200万人　何が起きたのか： DNA検査会社MyHeritageが、9,200万人に影響する大規模なデータ侵害に遭いました。DNAデータは公開されませんでしたが、メールアドレスと一部のパスワード情報は公開されました。データはプライベートサーバーに保存され、入手した人物は第三者のセキュリティ研究者に送信しました。

データ侵害：チケットマスター

時期： 2月～6月　人数： 4万人　何が起きたのか：チケットマスターは、4万人分のログイン情報、支払いデータ、住所、氏名、電話番号が危険にさらされていたことを明らかにした。このデータ侵害は、デジタルバンクのMonzoによって最初に発見され、Monzoはチケットマスターにセキュリティ上の懸念を伝えた。

データ侵害：Typeform

時期： 5月～6月　人数：数百万人　何が起きたのか： Typeformのアンケート調査で収集されたデータは保護されていないまま、ハッカーに盗まれました。その結果、アディダス、Monzo、Revolut、イングランドのシャビングトン・カム・グレスティ教区議会、フォートナム・アンド・メイソンズなど、多くの企業がデータ侵害を認めざるを得なくなりました。

データ侵害：ディクソンズ・カーフォン

いつ？： 2017年7月　人数： 590万枚のペイメントカード
　何が起きたのか？： Dixons Carphoneは、2017年に590万枚のペイメントカードと120万件の個人データが盗まれたことを明らかにしました。カードのほとんどはICチップと暗証番号で保護されていたため、悪用されていません。この侵害により、100万人以上の氏名、住所、メールアドレスも盗まれました。

罰金：グリニッジ大学

いつ？： 2004年　金額： 12万ポンド　何が起きたのか？：英国のグリニッジ大学は、安全でない研修ウェブサイトを通じて、学生の氏名、住所、電話番号、署名、健康状態、生年月日など19,500件の個人情報を漏洩しました。これらの情報は2004年に初めて公開されましたが、英国情報コミッショナー事務局（ICO）は同大学に12万ポンドの罰金を科しました。

罰金：Yahoo!

時期： 4月～6月　金額： 3,500万ドル　経緯： 2014年にYahoo!が大規模なデータ漏洩を起こし、数十億件のユーザー名、メールアドレス、電話番号、生年月日、パスワード、セキュリティ質問が盗まれたことを受け、規制当局は同社に罰金を科しました。米国証券取引委員会は4月、現在Altabaと改名されている同社に対し、3,500万ドルの罰金を科しました。英国のデータ保護監督機関も、同社に25万ポンドの罰金を科しました。

データ侵害：MyFitnessPal

いつ？： 2018年2月　人数：1億5000万人
　何が起きたのか？： 3月、スポーツ用品小売大手のアンダーアーマーは、フィットネスアプリ「MyFitnessPal」のシステムから1億5000万人分のユーザー名、メールアドレス、パスワードが盗まれたと発表しました。ただし、パスワードは暗号化されていました。

データ侵害：Equifax

時期： 2017年　最新情報：被害者増加　何が起きたのか：史上最悪のデータ侵害の一つで、Equifaxは1億4500万人の米国市民のデータを漏洩しました。その後、さらに240万人の米国市民のデータも漏洩したことが明らかになりました。Equifaxは、このデータ侵害で1億1400万ドルの損害が発生したと発表しており、現在も別途調査が進行中です。

データ侵害：Facebook

いつ？： 2014年　責任者：ケンブリッジ・アナリティカ　何が起きたのか？： Facebook史上最大のスキャンダルの発端。ガーディアン紙は、データプロファイリング会社ケンブリッジ・アナリティカのために5000万人以上（後に1億人以上に増加）のデータが収集されたと報じた。Facebookは2015年にこの事実を知ったが、詳細は今年になってようやく明らかになった。収集されたデータは、人々の個人情報を収集するクイズアプリを通じて収集され、アプリを開発した研究者以外にも共有された。

データ侵害：OnePlus

発生時期： 2017年11月中旬から2018年1月11日まで　被害人数： 4万人
　発生経緯：中国のスマートフォンメーカーは1月、自社ウェブサイトの「決済ページのコードに悪意のあるスクリプトが挿入された」ことで、顧客4万人分のデータが流出したことを認めた。このスクリプトはユーザーの決済データを収集し、正体不明の攻撃者に返していた。同社によると、oneplus.netで入力されたクレジットカード番号、有効期限、セキュリティコードが漏洩した可能性があるという。

データ侵害：Strava

いつ？： 1月　何が起きたのか？：フィットネス企業Stravaが公開したワークアウトの巨大なマップによって、軍人の位置と行動が明らかになった。地方では、ヒートマップデータから軍事基地周辺での人々の行動がわかるだけでなく、極秘基地内の人物の名前や心拍数も判明した。

罰金：カーフォン・ウェアハウス

時期: 2015 年 8 月 金額: 40 万ポンド 何が起こったか:英国のデータ保護規制機関である情報コミッショナー事務局 (ICO) は、2015 年に 300 万人の顧客の詳細がアクセスされたことを受けて、Carphone Warehouse に 40 万ポンドの罰金を科しました。ICO によると、情報へのアクセスを可能にした「基本的な」セキュリティ上の欠陥があったとのことです。

データ侵害：米国国土安全保障省

発生時期： 2002年から2014年の間 責任者：不明だが、「外部からのサイバー攻撃」ではない 発生経緯： 2018年1月3日、米国国土安全保障省は職員247,167人に対し、2014年に同省で勤務していた職員のデータベースの一つに「プライバシーインシデント」が発生したと発表しました。2002年から2014年の間に、調査対象となっていた未公開の人数の職員もデータ漏洩の被害に遭いました。漏洩した情報には、氏名、社会保障番号、職員の役職などが含まれています。当局は2017年5月にこの情報漏洩を初めて発見しましたが、確認には時間がかかりました。