ゲッティイメージズ / ヨゼフ・スース / WIRED
ブリティッシュ・エアウェイズ(BA)はついに報いを受けるかもしれない。英国のデータ保護規制当局である情報コミッショナー事務局(ICO)は、BAに対し、世界売上高の1.5%に相当する巨額の罰金を課す計画を発表した。
ICOは、昨年夏にさかのぼる大規模な顧客データ侵害で同航空会社に罰金を科す予定である。この侵害では、3か月間にBAのアプリまたはウェブサイトを通じて航空券を予約したユーザーが偽のウェブサイトに誘導され、ユーザー名やパスワード、クレジットカード情報、氏名や住所など搭乗に必要な重要な情報を含む個人情報が盗み出された。
「ICOの罰金は、BAのウェブサイトとアプリの両方における決済処理における欠陥がいかに深刻であったかを示しています」と、オックスフォード大学のサイバーセキュリティ研究者アンドリュー・ドワイヤー氏は述べています。ICOによると、ハッカーが推定50万人の情報にアクセスした方法は、ウェブサイトで使用されていたサードパーティ製のJavaScriptの脆弱性を突いたもので、Magecartと呼ばれるハッカー集団がこれを悪用しました。
Magecartは、支払いに関する重要な情報を犯罪者が管理する別のウェブサイトに転送する22行のコードを隠蔽したとみられています。サードパーティ製のJavaScriptであるModernizrは、baways.comにデータを送信していました。baways.comは公式サイトに似た名前のウェブサイトですが、航空会社の管理外にあります。
Modernizrの脆弱性はよく知られており、BAは問題の存在が明らかになってからずっと後の2012年以降、この脆弱性を更新していませんでした。「単一のエラーとして見れば、かなり些細なことのように思えるかもしれません。なぜなら、侵害され、データの窃取に使用されたのはたった一つのスクリプトだったからです」とDwyer氏は述べています。「しかし、これほど長い間発見されず、そのスクリプトが更新されていなかったことは、BAのITガバナンスにおけるより体系的な問題を示唆しています。つまり、これが孤立した脆弱性である可能性は低いということです。効果的な監視があれば、これはすぐに発見できたはずです。BAが3ヶ月もかかったような事態は起こらなかったでしょう。」
「現在でも、同社の支払いページではサードパーティのスクリプトへのアクセスが許可されており、こうしたサードパーティからの潜在的なアクセスから支払いを隔離するために必要となる十分な保護対策は講じられていない」と彼は付け加えた。
だからこそ、ICOが予定している1億8300万ポンドという罰金は、あまりにも衝撃的だと、データ保護コンサルタント会社Protectureのシニアデータ保護責任者、ロウェナ・フィールディング氏は語る。同グループがこれまで課した罰金の最高額は、Facebookに対して課された50万ポンドだった。
「情報漏洩の被害を受けた人の数、そして漏洩が彼らに及ぼした影響は、罰金の額を算定する上で重要な要素となったでしょう」と彼女は言う。「過失や無謀なリスクテイクの証拠も発見されれば、罰金の額を決定する上で加重要因となるでしょう。」
データ漏洩が欧州連合(EU)の一般データ保護規則(GDPR)に違反しているため、ICOが介入した。「GDPRのセキュリティ原則では、個人データの完全性と機密性を保護するために『適切な技術的および組織的措置』を講じることが求められており、これは主に『処理の性質、範囲、および状況』によって判断されます。一般向けウェブサイト上の決済情報に関しては、サイトの監査、セキュリティテスト、リスク評価を含む強固なセキュリティ対策が講じられていることが期待されます」とフィールディング氏は述べている。
しかし、ICOの発表はBAに全額の罰金を科すという宣言ではないことに注意が必要です。むしろ、これは「意向通知」であり、同社に1億8,300万ポンドの罰金を科したいというものです。決定事項には程遠い状況です。「BAは、罰金が不当だと感じた場合、異議を申し立てたり、軽減する情報を提供したりすることができます」とフィールディング氏は述べています。「ICOが組織に対して罰金を執行するには、当該組織がデータ保護のために『適切な技術的および組織的措置』を講じなかったと確信する必要があります。たとえ罰金が科せられたとしても、BAは決定に対して控訴することができます。」
BAの親会社は今朝の発表に対し、全面的に協力していたことと、盗まれたカード情報が犯罪者に使用された証拠がなかったことを考慮すると罰金は不釣り合いであるとして控訴する意向を示した。
いずれにせよ、控訴後でもBAが科される罰金の額は、そもそも脆弱性を修正するために要した費用をはるかに上回るだろうと、デモンフォート大学のサイバーセキュリティ教授、エールケ・ボイテン氏は見ている。「このような事態を防ぐための適切なセキュリティ対策を講じるための技術的解決策やスタッフの労働時間への実際の支出は、罰金のような9桁の額には遠く及ばないでしょう」とボイテン氏は言う。「数百万ドルを超えるとしたら驚きです。」
むしろ、真のコストは機会費用だったはずです。新しいウェブサイトの展開を遅らせて、完全に安全かどうかを評価すれば、組織の評判が損なわれ、適切な対策を講じることができなくなる可能性があります。ボイテン氏は、ウェブブラウザから送信される情報が影響を受けずに配信されるかどうかを確認するセキュリティ機能であるサブリソース整合性の実装は、比較的簡単でコストもかからないと述べています。
ICOの声明では、BAの「セキュリティ対策が不十分」だったと説明されている。ボイテン氏は、ICOはBAが新しいウェブサイトやアプリの展開時に適切な予防措置を講じていなかったと主張しているのだろうと考えている。「最も重要なのは、適切なセキュリティ管理インフラを構築することだろう。つまり、常にリスクを把握し、解決策を見つけ出し、そして組織全体の同意を得て、できるだけ早く、理想的にはシステムの展開前に、それらを導入することだ」と彼は述べている。
「重要なのは、これが最初の草案だということです。すべての罰則には意図の通知が必要であり、組織には異議申し立てを行う権利があります」と、マンチェスターを拠点とするデータ保護コンサルタントのティム・ターナー氏は警告する。「罰則がこれほど高額になる保証はありませんし、そもそも適用される保証もありません。まだ完成していない段階で罰則を発表するのは、非常に判断ミスだと思います。」
この記事はWIRED UKで最初に公開されました。
