セキュリティ

世界最大手の信用情報機関・Experianのセキュリティがザルすぎるという指摘


クレジットカードや銀行口座の不正利用は世界中で後を絶ちませんが、被害を防ぐために銀行やクレジットカード会社はさまざまな技術を開発・利用しています。しかし、そんな中で消費者信用情報機関であるExperianは凍結したアカウントに対するセキュリティが甘く、簡単に凍結解除され、新規口座の開設に利用されることを、セキュリティ関連のジャーナリストであるブライアン・クレブス氏が指摘しています。

Experian’s Credit Freeze Security is Still a Joke – Krebs on Security
https://krebsonsecurity.com/2021/04/experians-credit-freeze-security-is-still-a-joke/

クレブス氏はこの情報を、カリフォルニア州サクラメントに住むエンジニアのデューン・トーマス氏から受け取ったとのこと。トーマス氏は、何者かが自分の名前とワシントン州の空き家の住所を使って支払い用のアカウントを作成しようとしたことを受け、2020年に消費者信用情報機関であるExperian、Equifax、TransUnionのアカウントを凍結しました。


しかし、詐欺行為を試みた何者かは、2021年4月に入って、Experianの凍結を解除し、トーマス氏の名前と上記の住所を使って、新しい口座の申請を行ったことが判明。トーマス氏はクレジットカード会社が提供する無料の監視サービスを利用していたため、犯人の行動を知ることができたそうです。

なぜトーマス氏が凍結したExperianのアカウントが凍結解除されたのか、不審に思ったトーマス氏はExperianに問い合わせました。この結果、犯人は「PINのリクエスト機能」を利用したことがわかりました。


実はExperianでは、凍結解除に必要なPINを復活させるためのプロセスが、「住所・社会保障番号・生年月日を入力した後に、質問に答える」というだけとのこと。質問は5つあり、いずれも「信用情報機関だけが知っている内容」となっているそうですが、回答が選択式なので、容易に突破することが可能だとトーマス氏は示しています。

クレブス氏が実際にPIN復活のためのプロセスを試してみたところ、1つ目の質問内容は「2019年に組んだ新しい住宅ローン」についてで、住宅ローンを組んだことがないので答えは「どれでもない」を選択するのが正解。また次の質問も「どれでもない」を選択することが正解となっていました。3つ目の質問は「社会保障番号の下4桁」、4つ目の質問は「私は以下の期間に生まれたかどうか」というものですが、これは既に誕生日と社会保障番号の入力が済んでいる犯人には無意味なもの。実際に信用履歴に関連する質問は、当座預金口座番号の下4桁に関する質問1つだけだったそうです。

また、PINを取得するための認証プロセスでは、任意のメールアドレスを入力可能で、Experianの既存のアカウントに関連付ける必要はなかったとのこと。加えて、PINが取得された時に、登録済のメールアドレスに連絡がいくこともありませんでした。


特にトーマス氏やクレブス氏が問題としてみているのは、Experianが無料アカウントユーザーに対し、PIN取得攻撃の阻止に役立つ多要素認証のオプションを提供していないことです。Experianは月額14.99ドルから24.99ドル(約1600円から2700円)のCreditLockサービスに加入しているユーザーに対してのみ、多要素認証のオプションや、誰かがアクセスしたときに通知が届く機能を提供しています。

トーマス氏は、Experianが月額プランの料金を支払うユーザーにのみ、セキュリティを提供することに怒りを感じているとのこと。

「Experianは追加の認証機能を通じてよりよいセキュリティ保護を提供できるにもかかわらず、月額25ドル(約2700円)を請求したいがために、それをしません。ユーザー間の大きなセキュリティギャップを、Experianは利益を上げるために許容しています。そしてこれは少なくとも4年続いています」とトーマス氏は述べました。

Experianはアカウントを凍結している間、セキュリティ保護が低くなることを明示しています。そもそも消費者信用情報機関のアカウント凍結は、信用情報を他者から見られないために行う行為ですが、これによってセキュリティ保護が甘くなり、情報が流出リスクにさらされるという状況になってしまっているわけです。


Experianの提供するCreditLockサービスは、「申請プロセスに遅延が発生しないように、信用情報を簡単かつ迅速にロック/アンロックする機能」と説明されています。クレブス氏は、「CreditLockサービスは、新しいクレジットの申請時に債権者が内容をすぐさま確認するための機能にもかかわらず、その名前によって、まるでアカウントが誰にも見られないかのように印象づけている」と指摘。ユーザーがCreditLockサービスを利用している際、Experianは信用情報の多くをサードパーティーに提供していることにも言及しています。

この記事のタイトルとURLをコピーする

・関連記事
デビットカードのICチップを交換する詐欺が拡大中とシークレットサービスが注意喚起 - GIGAZINE

Amazonが「手のひらをクレジットカードにする」技術を開発中 - GIGAZINE

2600万枚分のカード情報が闇サイトから盗み出される、カード情報を詐取されたユーザーには恩恵 - GIGAZINE

金融機関が自分をどう評価しているかが一目でわかる「クレジットレポート」を実際に出してみた - GIGAZINE

国民を監視して信用スコアを格付け&ランクに応じて特権付与やブラックリスト登録を行う中国の「社会信用システム」を分かりやすくイラストで解説するとこうなる - GIGAZINE

in セキュリティ, Posted by logq_fa

You can read the machine translated English article here.