Moody'sがEquifaxの格付け見通しを引き下げた。1億4000万件を超えるユーザー記録の盗難につながったセキュリティ侵害を理由に挙げている。
CNBCが報じたところによると、Moody'sは先週、Equifaxの見通しを「安定的」から「ネガティブ」に引き下げることを決定した。
格下げの理由は、2017年の情報流出だ。米国のほか、カナダや英国の顧客の氏名や社会保障番号、生年月日、自宅住所、運転免許証情報の一部などの個人情報が盗まれた可能性があるとされた。
Equifaxは、この不正侵入ついて、「Apache Struts」の既知の脆弱性「CVE-2017-5638」が原因だったと認めている。
Apache Strutsプロジェクト管理委員会は当時、このデータ流出の背後にいる攻撃者が「パッチの当てられていないEquifaxサーバーに対して、先に発表された脆弱性を使用したか、あるいは現時点では未知の脆弱性を悪用した」と述べた。Equifaxはその後、データ流出が発生する2カ月前にこのバグが開示され、パッチが公開されていたにもかかわらず、システムにパッチが適用されていなかったことが問題だったと明かした。
つまり、この情報流出は防ぐことが可能だった。この事実は現在もEquifaxに影を落としている。
Moody'sは格下げの理由として、情報流出関連で要した第1四半期の6億9000万ドル(約755億円)の支出を挙げた。しかしIT Proによると、コストはさらに大きかった。Equifaxは2019年第1四半期の決算で、データ流出に起因する一般費用が7億8680万ドル(約860億円)で、テクノロジーとデータセキュリティ費用8280万ドル(約90億円)、訴訟費用など1250万ドル(約14億円)、製造物責任費用150万ドル(約1億6000万円)が含まれているという。
Moody'sの広報担当者はCNBCの取材に対して、「見通しを変更する理由としてサイバー関係の問題を挙げたのは今回が初めてであるため、わが社はこれを重要な問題として取り扱っている」と述べ、「情報漏えいの影響が格付け見通しの変更の要因になるほど大きくなったのは、これが初めてのことだ」と続けた。