信用の崩壊 ― 2017年 エクイファックス情報漏洩と個人信用の危機（2017年3月〜2019年7月）

信用の崩壊 ― 2017年 エクイファックス情報漏洩と個人信用の危機（2017年3月〜2019年7月）

2017年、米国の信用情報会社エクイファックスで、約1億4700万人の個人情報が流出した。原因はApache Strutsの既知脆弱性（CVE-2017-5638）を放置したまま運用を続けたことにあった。攻撃者は5月中旬から侵入し、7月末まで内部システムに自由にアクセス。氏名、生年月日、住所、社会保障番号、運転免許証番号など極めて機微な情報が漏洩した。米国の成人の半数以上が影響を受け、金融信用制度の根幹を揺るがす事件となった。

発見の契機は、9か月も失効していたSSL証明書を更新した際、監視が再稼働し異常通信が検知されたことだった。セキュリティパッチ未適用、監視体制の杜撰さ、運用連携の欠如という三重の失策が重なった。CEOのリチャード・スミスは議会証言で責任を認め、辞任に追い込まれた。

2019年にはFTC・CFPB・全州と総額7億ドルの和解に達し、米国史上最大級のデータ流出賠償事例となった。事件は、社会保障番号を基盤とする信用制度の脆弱性を世界に示し、GDPRやCCPAなどの法整備を促進。技術的欠陥ではなく、管理と説明責任の欠如が生んだ「信用社会の構造的リスク」の象徴とされた。