米ＳＥＣの企業情報システムにサイバー攻撃の危険性＝内部文書

［６日　ロイター］ – 米証券取引委員会（ＳＥＣ）が、企業財務情報公開システム「ＥＤＧＡＲ」のデータベースに、システム停止につながる危険のある脆弱（ぜいじゃく）性を発見したことが分かった。ロイターが内部文書を入手した。

ＥＤＧＡＲには、四半期決算やＭ＆Ａ（合併・買収）関連情報など企業の開示データ数百万件が保存されている。

ＳＥＣによる９月２２日付のメモによれば、ＥＤＧＡＲのデータベースはＤｏＳ（サービス妨害）攻撃を受けるリスクがあるという。ＤｏＳ攻撃はサイバー攻撃の１つで、外部からネットワークに過剰な負荷をかけることでシステムを動作不能にするもの。

ミューチュアルファンド業界では昨年、月間・年間の会計報告に関する新規制が導入された。ＳＥＣがこれに伴い、ＥＤＧＡＲの対応能力をテストしていた際に脆弱性が発見された。

メモによると、ハッカーによる悪意のある攻撃だけでなく、企業による意図的でないエラーでもシステムが停止する可能性がある。電子的な報告書が大容量の「無効な」形式で提出された場合も、システムのメモリーの許容量を超えてしまうという。

ＳＥＣは９月、２０１６年に何者かがソフトウエアの弱点を突いてデータベース上の非公開情報にアクセスしていたことを明らかにした。今回問題が発見されたことで、ＳＥＣのネットワークの脆弱性やサイバー攻撃への対策に関する懸念が強まりそうだ。