あなたの税金関連データは、自分で財務ソフトウェアに保存していなくても、CPA(公認会計士)や税務申告書作成者が保存していることがあります。
あなたの信頼できるアドバイザーは、あなたの名前、住所、源泉徴収票、納税申告書、社会保障番号を保護するために、どのようなソフトウェアやセキュリティ手順を使用しているのか疑問に思ったことはありますか?そして、思い切って彼らの監査を行ったことがありますか?私はあります。そして、皆さんが信じられないようなことを発見したのです。
納税申告書作成市場は、110億ドルの産業であり、その約半分を北米が占めています。しかしながら、御社の機密データを扱うソフトウェアベンダーや申告書作成者の監視はほとんどなされていません。
3,500人のCPAを対象に、2017年に行われたある調査によると、申告書作成者1〜20人が在籍する小規模企業が利用する税務ソフトウェアのシェアは、5種類の製品が90%を占めているという結果となりました(2017年、Bonner)。私たちは、申告書作成者を信頼しています。結局のところ、私たちは彼らに自分の財務データのすべてを預けています。それでは、彼らが税務申請に使用するソフトウェアについてはどうでしょうか?それは、安全でしょうか?
今年のBSidesLV 2018での私の講演では、財務/税務業界における全般的な情報セキュリティの不足について、具体的にはCPAと会計事務所があなたのデータをいかに危険にさらしているかについて詳しくお話したいと思います。
最近行った、ある会計事務所のセキュリティアセスメントで、私は世界トップ5のシェアを誇る納税申告書作成ソフトウェアの1つに情報漏洩をもたらす脆弱性を発見しました。BSidesLVでは、その時発見したことと、攻撃者はなぜものの数秒で数千件もの社会保障番号を手に入れることができるのかについてお話しするつもりです。
何年もの間、小規模な会計事務所は、情報セキュリティコントロールが手薄であることの理由について、自分たちのような小規模な会社が標的にされることはないからだと主張していました。小規模な会計事務所は皆、「EY社には数百万人の顧客がいるのに、10名の公認会計士と5,000人の顧客しか持たない私たちがなぜ標的になり得るのか?」と考えているようです。しかし、限られたリソースと、暗号化されていないストレージ、旧式のソフトウェアを使い、サイバーセキュリティプログラムが欠如している小規模な会社は狙われる可能性が高くなります。
金融セクターで長年サイバーセキュリティのコンサルティングサービスを提供してきた私の経験から、最小限の努力でセキュリティ侵害が可能になる小規模な企業こそ、格好の標的となることがわかるのです。侵害が行われると、攻撃者は、あなたの納税申告書を悪用して多額の払い戻しを受け取ったり、あなたの個人情報を盗んだり、あなたの名前を使ってクレジットカードを作成する可能性もあります。
過去10年間、あなたの代わりに公認会計士や税務申告書作成者が確定申告を行っているとしたら...私の講演は聞いておいたほうが良いでしょう。
あなたの名前、配偶者の名前、住所、電話番号、Eメールアドレス、企業名、社会保障番号が、会計士も知らないうちに流出しているかもしれません。私の講演では、有名な会計ソフトに存在するゼロデイ脆弱性についてお話する予定です。世界中のベンダーには、納税者データの保護に注力するよう訴えます。また、ユーザーを教育することにより、サイバーセキュリティをさらに強化できればと思います。
執筆者について:Michael Wylie(MBA、CISSP保有)は、サイバーセキュリティのコンサルティング会社であるCorporate Blueの共同設立者です。同社はサイバー脅威の緩和を目的としたサービスを提供しています。Wylie氏は、脆弱性評価、リスク管理、インシデント対応、侵入テストクラウドセキュリティ、トレーニングを通して情報アシュアランスを提供する役目を担っています。彼は、国防総省、大学、ISSA、ISACA、および各国のクライアントを対象に数々のコースの開発および教育を行っています。Wylie氏が保持する資格は次の通りです。VMware VCP-DCV、Cisco CCNA Routing/Switching & CyberOps、Security+、Project+、Pentest+、CEH、CEI、Splunk User、CHPA、Dell Security、CISSPなど。
編集者注:ゲスト執筆者による本記事の意見は、筆者自身の意見であり、必ずしもTripwire Inc.の意見を反映するものではありません。
