Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

小嶋屋もEC-CUBE

新潟のへぎそばで有名な小嶋屋総本店の通販サイトもカード情報を漏洩したと発表していました。

www2.uccard.co.jp

 

■公式発表 「小嶋屋総本店ショッピングサイト」への不正アクセス発生についてのご報告とお詫び 

 

1、漏洩の可能性のある期間

2015年12月9日から2019年4月15日

上記期間内に、弊社ショッピングサイトでクレジットカード決済を利用された方が対象でございます。※なお、上記に該当されるお客様には、弊社より書面とメールをお送りいたしております。※電話やFAXでのご注文でカード決済されたお客様は含みません。

2、漏洩の可能性のあるデータ流出の可能性のある個人情報データは最大で8,109件。流出したクレジットカード情報については以下の通りでございます。

① 氏名

② クレジットカード番号

③ クレジットカード有効期限

(公式発表より引用)

 

◆キタきつねの所感

サイトは閉鎖されていますが、魚拓サイトで調べると、会員登録ページ(URL構成)や規約などの癖がEC-CUBE標準とまったく同じでしたので、EC-CUBEユーザ(推定)だと思います

f:id:foxcafelate:20190823081209p:plain

 

またEC-CUBEユーザか・・とは思ったのですが、公式発表を見ると、氏名+カード番号+有効期限が漏洩したとはありますが、セキュリティコードが漏洩したとは記載がありません。とは言え、カード会社(イシュア)は漏洩懸念(カード不正利用)を伝えているので、セキュリティコード(3Dセキュア)の入力を求めないサイトで不正利用されたのかも知れません。

4、対策
2019年4月15日にカード会社から決済代行会社を通じて、弊社オンラインショップで情報漏洩の懸念がある旨連絡を受け、社内での調査をいたしましたところ、漏洩懸念が判明し、被害拡大防止のため直ちにオンラインショップでのカード決済のご利用を停止いたしました。

(公式発表より引用)

セキュリティコードが漏洩してないとすると、(他のECサイトで)不正利用されるリスクは下がると思いますので、最大漏洩件数の8千件すべてが被害を受ける可能性は少ないかと思いますが、EC-CUBEユーザからまたデータ漏洩が発生したのは、残念な所です。

 

流出懸念が4月で、発表が8月・・・と時間がかかっている事も気になりますが、EC-CUBEが集中的に狙われている事が、他のEC-CUBEユーザに啓蒙される前に、カード漏洩事件が拡大していっている事も気がかりです。

 

公式発表で気になった点がもう1つあります。

ECサイト事業者は留意が必要なポイントかも知れません。

 

1、漏洩の可能性のある期間

2015年12月9日から2019年4月15日

 

最大漏洩件数が2015年まで遡っているのは・・・おそらくログが残ってなかったから、漏洩したかどうか分からないとフォレンジック調査会社(PCF社)に判断されたのだと思われます。

オンラインでログを残すと上書きして消されてしまう可能性もあるかと思いますが、定期的にログを外部にバックアップしたり、ログ容量を増やすなどもしておかないと、最大被害件数が増える(=対応費用が嵩む)事もありますので、十分な留意が必要かと思います。

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 

f:id:foxcafelate:20190823080758p:plain


 

更新履歴

  • 2019年8月23日AM(予約投稿)

 

警察も内部脆弱性診断をした方が良い

警察の失態がまた発生したか、とぼーっとニュースを見ていたのですが、警察病院とは言え5階から逃走が出来てしまうのは少し驚きました。

www.sankei.com

 

警視庁に窃盗容疑で逮捕された後、けがの治療のため釈放された韓国籍の60代の男が18日午前、入院先の東京警察病院(東京都中野区)から逃走した問題で、警戒中の警察官が目を離したすきに男が病院5階のトイレから逃げていたことが、捜査関係者への取材で分かった。警視庁が行方を追っている。

 捜査関係者によると、入院していた男に対して中野署員2人が警戒に当たっており、男が5階のトイレに入った際は1人がトイレの出入り口近くに配置された。午前6時45分ごろ、この署員が数十秒ほど目を離したすき男が出入り口から出て逃走する姿が病院内のカメラに写っていた。その後、男はJR中野駅方面に逃げた。

産経新聞記事より引用)

 

◆キタきつねの所感

映画の世界ではトイレから脱走というのは定番の1つではありますが、警察病院は一般病院としての顔もありますので、留置所や刑務所の様なセキュリティ体制が整っていた訳ではないかと思います。とは言え、5Fの窓から逃げるという選択肢が無いものとして警備に当たっていた警察の対応マニュアルについては、『油断』という観点から、再チェックが必要なのではないでしょうか。

 

東京警察病院の外観写真はこんな感じの様です。(HPから引用)トイレがどこに位置していたかは分かりませんが、5Fから飛び降りるのは、写真から見る限り難しそう(更にけがをしそう)ですので、何かを伝って降りれる状態にあったのは間違いないのかと思います。例えば配管パイプ(マンション窃盗犯がよく使う手)であったり、警察病院の写真だと2.5Fの辺りに屋根がありますので、こうした所に飛び降りた・・といった事であれば、逃げ出せた可能性はあるかなと思います。

f:id:foxcafelate:20190818171109p:plain

 

もう1点、想像しうるのが、警備に当たった警察官1名の方は・・・トイレの中で待っていた訳では無く、入り口の外で見張っていただけだったのが、今回の失態に繋がった気がします。中で監視をしたくないのであれば、手足に手錠をかける、あるいは紐で縛る、といった事をする事も考えるべきだったかも知れませんが、警察病院の窓は・・・ビジネスホテルでよくある、人が出れない隙間しか開かない構造にしておけば良かったのかなと思います。

 

警察関係者には、防犯の知見を持つ方も多いのですから、内部からの逃走という観点で、再チェック(内部脆弱性診断)を行うべきなのではないでしょうか。

 

 ===

※8/25追記 思ったより警察は甘い監視体制だった様です。追加記事が出ているのに気づきました。

www.sankei.com

 病院内車いすの使用を強く要望し、痛みを強調するなど移動に不自由な様子を装っていたことが24日、捜査関係者への取材で分かった。25日で逃走から1週間となるが、金容疑者が元暴力団組員だったことも判明。バスやタクシーを乗り継ぎ、知人の車で都外に逃走しており、警視庁は周到な計画のうえでの逃走とみて行方を追っている。

(中略)

 捜査関係者によると、負傷部位は上半身だったものの金容疑者は車いすの使用を自ら強く要望。付き添っていた署員の前では、声を上げて痛がるそぶりを見せていたという。

金容疑者の退院は前倒しされたが、退院予定前日の18日朝に逃走。病院5階の多目的トイレに車いすごと入り施錠した後付き添いの署員に「忘れ物のメモ帳を取ってきてほしい」と頼み、署員が離れた数十秒の間にトイレを出て非常階段から逃げた。周辺の防犯カメラには、走ってバス停に向かう姿が写っていた。

(中略)

 ■ 一般患者に配慮 厳重警戒難しく

 けがの治療や刑事責任能力の有無を調べる鑑定留置で入院した容疑者らが、病院から逃走するケースは少なくない。病院側が一般患者への配慮から院内での警察官の厳しい警戒に難色を示すこともあり、多数の警察官を配置するのが難しいという現実もある。

産経新聞記事より引用)

 

トイレの窓から逃げたのかと思ってましたが、多目的トイレ(窓が無いものと思われます)から、警備の署員が何の目的でトイレの中で使うかわからない「メモ帳」を取りに行くのを確認したのち、普通に非常階段から逃げ出したというのがオチだった様です。

これを警察の失態と言わず何というのでしょうか?

 

 ①上半身のケガで車いすに乗せたのは何故か?

 ②メモ帳を取りに行く必要があったのか?

 ③警察病院で容疑者の警備が緩める必要性があるのか?

 

少なくても3点の疑問が出る訳ですが、治療のための入院に対して正直甘すぎる事について、今回の件を機に、一般患者への配慮が必要がない状態で警備する様に体制を見直した方が良いのではないでしょうか?これが凶悪犯であった場合、地域住民に与える影響を考えると脆弱すぎる運用は見直すべきでしょうし、あるいは医者と警備署員の連携(※車いすの必要性は無いとすぐわかったはずですが・・・)をもっと密にするなど、抜本的に脆弱点を見直した方が良いのではないでしょうか。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

  

f:id:foxcafelate:20190818170706p:plain

 


 

更新履歴

  • 2019年8月17日AM(予約投稿)
  • 2019年8月25日PM 追加記事を受けて追記

くら寿司のバイトテロ続報

バイトテロ・・・現在は下火ですが、また1-2年もすれば出てくるかも知れません。一連のバイトテロの中でも多く取り上げられていた「くら寿司」の件について続報が出ていました。

www.jprime.jp

 

実際に訴訟に至ったケースは今のところほとんどありません店側のやられ損だったのですが、唯一、関係者3人が書類送検される異例の展開を見せたのが大手回転寿司チェーンの『無添くら寿司』です」(全国紙社会部記者)

 

(中略)

 

 当時、専門学校生だったアルバイトの少年(19)がハマチの切り身をゴミ箱に捨てた後、ふざけてまな板に載せる一部始終が撮影されていた。ちょうど1か月後の2月4日、この動画はツイッターに投稿されるやいなや“不快”“くら寿司には行かない”などの批判が殺到。店舗への抗議の電話は3日で約1300件きたという。

 問題を重く見たくら寿司は3日後にはアルバイト2人を退職処分とし、刑事・民事両面での法的措置をとると公表。約3か月後の5月下旬に、大阪府警は動画に映っていたアルバイト従業員の19歳少年を偽計業務妨害ほう助容疑で、Aくんと友人の高校2年男子生徒Bくん(17)偽計業務妨害容疑書類送検した。

「仲たがい」からの稀有なケース
 なぜ店とは無関係のAくんの友人まで書類送検されたのか。

動画を拡散したのがBくんだからですよ。実はくら寿司のバイトテロはこれまでの“バカッター(バカな自撮り動画などをSNSに投稿すること)”とは違い、撮影者のAくんがこれをインスタグラムのストーリー(24時間で消えフォロワーだけが見れるもの)に投稿したところ、視聴した学校の先輩から『不適切』と注意され、約3時間後には動画を削除しているんです。

 しかし、このわずか3時間の間に友人の少年Bが動画を自身のスマホに保存していたんです。その後、BとAは仲が悪くなり、Bは“店に迷惑がかかればAの責任になる”と考え、2月4日午前2時10分ごろ、動画をツイッターに投稿し、大騒動へと発展したんです」(捜査関係者)

 友達同士の仲たがいから書類送検へと至った稀有なケースだったのだ。

週刊女性PRIME記事より引用)

 

 

◆キタきつねの所感

バイトテロの記事は一時期、どっと出ていましたが、この所は下火だったので、忘れていました。くら寿司のバイトテロの件での続報が出ていましたが、まず最初に驚くのが、多数のバイトテロに関して実際の訴訟まで至っているケースが少ないという所。

店側が大きな被害を被ったとしても、訴訟まで至らないケースが多いのであれば、暫くして仲間内の悪ふざけの動画がUPされてきてしまう可能性は高いかも知れません。

 

また、当初から言われてましたが、インスタグラムのストーリー、あるいはTwitterがテロ映像拡散に大きく貢献してしまっている事、プライベート配信であっても保存されて、他のSNSに流されてしまう可能性を含めて、学校、あるいはバイト先で十分な研修というものが必須なってしまったと言えるでしょう。

 

今回の週刊誌記事での新情報では(真偽の程はわかりませんが)、友達同士の仲違い、、、でバイトテロまで発展してしまったというのは(事実であれば)正直びっくりしました。

 

若い社員やバイトは(いつか)やらかす

 

セキュリティと同じく、0トラストの設計思想がバイト管理(店舗運用)にも必要になってきたのかも知れません。

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 

f:id:foxcafelate:20190817144144p:plain

 

 


 

更新履歴

  • 2019年8月17日AM(予約投稿)

HARIOもEC-CUBE

お盆休み中は1件も出て無かったかと思いますが、新たにまたカード漏洩事件が発表されていました。

www2.uccard.co.jp


 

■公式発表 弊社が運営する「HARIOネットショップ」への不正アクセスによる個人情報流出に関するお詫びとお知らせ

 

5月8日に、一部のカード会社から同サイトを利用した顧客のカード情報の流出懸念について連絡があり、同日中に同サイトでのカード決済を停止し第三者機関による調査を開始したところ、7月7日に完了した調査結果より顧客のカード情報流出と一部のカード情報の不正利用の可能性を確認したというもの。

流出した可能性があるのは、2018年11月23日から2019年5月8日に「HARIOネットショップ」でカード情報を入力し決済を行った2,577件のカード情報(名義人名、カード番号、有効期限、セキュリティコード)。なお、期間中であっても登録済みのカードで決済したカード情報の流出は確認されていない。

また、2,325件の会員ログイン用メールアドレスとパスワードも流出した可能性が確認された。

 

(Scan Net Security記事より引用)

 

◆キタきつねの所感

魚拓サイトで調べていたのですが、侵害を受けた「HARIOネットショップ」(※現在は閉鎖中)がPHPを使っている事は分かったのですが、会員サイトがどういった構築をされていたのか、もっと言うとEC-CUBEだったのかどうかはっきりしませんでした。

 

しかし少し調べてみると・・・関係会社の実績ページ答えが書いてありました

f:id:foxcafelate:20190823071309p:plain

 

やはりEC-CUBEの様です。

f:id:foxcafelate:20190823071906p:plain

 

漏洩データの時期から判断すると、EC-CUBE関連のカード情報漏洩事件が多発し始めていた頃に合致します。もっと言えばEC-CUBE5月に重要なお知らせという名の緊急告知を出していますが、HARIOもこの対象だったのかも知れません。

 

不正アクセスを受けてカード情報を漏洩した各社の公式発表を見ても、ほとんどのケースでEC-CUBEを利用していた事を公表していません。ですが今年に入ってからの事件では圧倒的にEC-CUBEユーザからの漏洩が続いています。フォックスエスタの方でとりまとめてますが、HARIOの件を入れると今年に入ってカード情報漏洩が27件あり、その内16件がEC-CUBEユーザとなり、全体に占める割合は約60%です。異常値といっても差し支えありません。

 

クレジットカード情報漏洩事件のまとめ(2019年下半期) - フォックスエスタ

クレジットカード情報漏洩事件のまとめ(2019年上半期) - フォックスエスタ

 

EC-CUBEの名前を出す影響が大きいから公表しないのか、単純な設定ミスや脆弱なパスワード等、自社が侵害を受けた理由があまりにお粗末すぎて発表できないのかは分かりませんが、EC-CUBEだと発表されてない事件(忖度)が多いが故に他の(被害を受けてない)EC-CUEBユーザも脆弱なままであって、そこをハッカー側は集中的に狙っているのではないでしょうか?

 

EC-CUBEの開発元、デザイン会社、あるいはECサイト事業者はもっと危機感を持つべきだと思います。

 

EC-CUBEユーザは、HARIOEC-CUBEで構築していたサイトを一新する、と読み取れる内容がある事にも留意が必要かも知れません。

同社では今後、調査結果を踏まえてシステムのセキュリティ対策と監視体制の強化を行い再発防止を図る。なお、5月9日から閉鎖していた同サイトについては、セキュリティの観点から再開を断念し、新規のショッピングサイトを開設し、会員情報の移管も行わないとのこと。

(Scan Net Security記事より引用)

 

旧サイトのセキュリティ強化をしてPCI DSS審査を受けるよりも、新たにセキュリティが強化されたフレーム(サードパーティのサービス)で新規サイトを構築する、という意味かと思いますが、セキュリティ向上のために、一定以上の費用をかける事を示唆しています。

 

EC-CUBEユーザは自社サイトの設定の再確認、ログの確認(侵害されてないかどうか)を急ぐと共に、Webサイト改ざん検知や、脆弱性診断などを検討した方が良いかと思います。

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 

 

f:id:foxcafelate:20190823075900p:plain


 

更新履歴

  • 2019年8月23日AM(予約投稿)
  • 2019年8月24日AM  Scan Net Security 記事が消えていたのでUCカードリリースに更新

 

 

危険なパスワードは7割変更されない

Googleが今年2月にリリースしたChrome向けの拡張機能(無料です)であるPassword Checkupに関する記事が出ていました。大変興味深い調査データです。

japan.zdnet.com

 

 危険なパスワードの使用について警告されたユーザーの26%がパスワードを変更し新たに設定されたパスワードの6割は堅牢だった――。Googleは8月15日、2月にリリースしたChromeブラウザの拡張機能「Password Checkup」に関するレポートを公開した。ユーザーに対するセキュリティ通知は、適切な行動を促す上で効果的な役割を果たすようだ。

 Password Checkupは、ユーザーが実際にログインフォームで入力したユーザー名とパスワードについて、Googleが第三者の情報源などをもとに把握している、過去に情報が漏えいした40億件以上のユーザー名もしくはパスワードと照合することで、危険な場合はユーザーに警告を表示してくれる。

 同社によれば、Password Checkupの利用者は65万を超え、最初の1カ月で2100万件のユーザー名とパスワードを検査した。このうちの1.5%に当たる31万1000件について警告を行ったという。

(ZDnet記事より引用)

 

■公式発表 Protecting accounts from credential stuffing with password breach alerting

 

 

◆キタきつねの所感

私は海外サイトを調べる時にGoogle翻訳利用が便利なのでChromeも良く使っており、この拡張機能も入れてますが、Chromeに覚えさせたパスワードを、外部のパスワード漏洩データと安全に比較して、登録サイトが「危険なパスワード」になっていないかどうかを教えてくれる拡張機能Googleスタンフォード大学が共同開発した「Password Checkup」です。

chrome.google.com

 

同様なサービスとして当ブログでも良く出てくる「Have I Been Pwned」(NotifyMe)に登録しておくとメールアドレスが漏洩したとマッチングしたら教えてくれるサービスがありますが、Chromeをよく使っている方にはどのサイトが危険なのか(変更の必要があるのか)後からでもわかりますので、インストールすると便利かと思います。

 

あまり会員サイトのパスワードをChromeに登録してないので、当然と言えば当然なのですが、漏洩が無ければ、アイコンが緑で、Web上に表示され(アイコン表示している場合)

f:id:foxcafelate:20190817070030p:plain

そこをクリックすると現在の状況がわかります。

f:id:foxcafelate:20190817064808p:plain

 

自分の場合、危ないパスワード表示が出てきた事がないので(警告画面が出せないので)、、Googleの英語表示画面を貼りますが、訪問した(かつChromeにパスワード登録した)サイトでは、下記のようなパスワード変更警告通知が出る様です。

f:id:foxcafelate:20190817064003p:plain

 

 

レポートのサマライズとしてZDnet記事で紹介されていたのが、サービス分野別での「危険なパスワード使用率」です。政府系や金融系では、過去に漏洩した様な危険なパスワードを使っているケースは少なく、反面エンターテイメント(Netflix等々でしょうか)やニュース、ショッピングサイトでは数字が高く、危ないパスワードを使っている、つまり脆弱なパスワードを使い回しているユーザが多い事が分かります。

 

ï¼åºå¸ï¼Googleï¼

 

元レポートを見てみると、こんな感じです。Warning Rateが上記のような警告が出た比率という事の様です。

f:id:foxcafelate:20190817063646p:plain

 

しかし、気になったのは記事には無い数字部分です。「Ignore Rate」(無視比率)は・・・現在パスワードが置かれている現状が、何故そうなったのかを表している気がします。

 

この数字はつまりパスワードが危険ですよ、という表示をPassword Checkupが出したにも関わらず、ユーザが何もしなかった事を表している事になります。

※例えば金融分野(Finance)で見ると、0.3%が危険なパスワード指摘をされて、0.3%の内、18.6%がその警告を無視した事になります。

 

最もパスワードの使い回しの多いエンターテイメント(Entertainment)では、危険なパスワード指摘が出された6.3%の内、27.1%が無視した事になり、、、つまり危険なパスワードを使っているエンターテイメントユーザの1.7%は危険なパスワードのままである事を意味しています。

f:id:foxcafelate:20190817064516p:plain

 

最も無視比率の高いのはアダルトユーザですが、4割弱(38.5%)は警告を無視する・・・1カ月の調査データではありますが、いくらサービス事業者が「パスワードの使い回し」に警鐘を鳴らしても、パスワードが使い回されていると言えそうです。

全体を通してデータを俯瞰すると、危ない状況である事に気づいても放置するユーザが金融であれ政府系であれ一定割合存在するパスワード問題が抱える「闇」が浮き出た調査結果と言えるかも知れません。

 

元のZDnet記事でも、「Password Checkupのおかけで26%もパスワード変更した」とも読めるデータが紹介されていますが、逆の見方をすれば警告を出しても7割以上が変更してない事になります。

 

 危険なパスワードの使用について警告されたユーザーの26%がパスワードを変更し新たに設定されたパスワードの6割は堅牢だった――。Googleは8月15日、2月にリリースした

(ZDnet記事より引用)

 

更に言えば、「変更ユーザの6割は堅牢なパスワードを設定した」のは「4割が脆弱なパスワードを再設定した」事に他なりません。

 

この調査データを見る限り、ユーザへの啓もう活動(パスワードは使い回ししてはいけない・・・)はもちろん重要な事ですし、今後も続けていくべきだと思いますが、中長期のパスワードの延命を考えるよりも、FIDO2等の生体認証に早く移行すべきと言えるかも知れません。

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 

f:id:foxcafelate:20190817072823p:plain


 

更新履歴

  • 2019年8月17日AM(予約投稿)

ChoiceホテルはMongoDBを意図せず公開していた

コンフォートホテルを日本でも展開するChoice Hotelsが、70万件の個人情報をハッカーに盗まれたと報じられていました。

www.zdnet.com

 

Choice Hotelsに属する70万件のレコードが、ハッカーが返品の支払いを要求して盗まれたと伝えられています。

Comparitechは、セキュリティ研究者のボブディアチェンコと共同で、BinaryEdge検索エンジンによってデータベースのインデックスが作成された後、2019年7月2日にホテルフランチャイズに属するデータを含む安全でないデータベースを発見しました。


MongoDBデータベースは、パスワードや認証を使用せずに公開され、合計560万件のレコードが公開されました

Choice Hotelsによると、記録の大部分は、支払いカード、パスワード、予約フィールドなどのテスト情報のみでした。ただし、70万件のレコードは本物であり、名前、メールアドレス、電話番号などのゲストに関する情報が含まれていました。

ディアチェンコは、チョイスホテルズに、発見の同じ日にセキュリティインシデントを認識させました。しかし、あまり名誉のない意図を持つ誰かが最初にそこに着いた。

データベースの調査中に、研究者は身代金メモを見つけました。このメッセージは、700,000件のレコードが盗まれ、他の場所でバックアップされ、所有者に0.4ビットコイン(BTC)、執筆時点で約4,000ドルを要求したと主張しました。

(ZDnet記事より引用)※機械翻訳

 

◆キタきつねの所感

この手の意図しないDBの公開については、セキュリティ専門家(おせっかいなホワイトハッカー)が見つけた!と報じられる事が多いのですが、残念ながら今回に関しては、ブラックハッカーの方が一足先に見つけてしまった様です。

 

時系列についてComparitechの記事を引用すると、チューリッヒのセキュリティ企業で、インターネットをスキャンしているBinaryEdgeが6月30日にDB露出をインデックス化し、7月2日にBob Diachenko氏(ホワイトハッカー)がこのデータベースを見つけて、Choice Hotelsに連絡。同日中に意図せぬ公開を停止

 

f:id:foxcafelate:20190817162633p:plain

 

したのですが・・・7月2日の段階では、既にハッカーがデータを盗んだメモが残されており、身代金として0.4ビットコイン(約3856ドル)が要求されたという経緯の様です。データベースの意図せぬ公開は4日間だったのですが、敏感に反応したホワイトハッカーでも「遅かった」という事になります。

 

別記事(Comparitech)を見ると、漏洩したデータはベンダーのテストデータとして使われていた様で、ホテルのシステムが襲われた訳では無い様です。

データベースには560万件のレコードがありました。しかし、Choice Hotelsは、Comparitechに電子メールで記録の大部分が「実在の人物に関連付けられていないテストデータ」であると伝えました。

同社によると、データはベンダーのサーバーでホストされており、Choice Hotelsサーバーにはアクセスされていません。 「ベンダーは、ツールを提供する提案の一部としてデータを操作していました」と、会社の代表者はComparitechに語ります。

(Comparithech記事より引用) ※機械翻訳

 

セキュリティ関係の資格試験でも良く出てくる(であろう)、『テストデータを本番データとして使ってはいけない』を守らなかった事に他ならないのですが、委託先に生の顧客データを渡したChoice Hotels側も・・・誰が首が飛ぶでしょうね。

 

ホテル業界、特に大きなホテルチェーンではここ数年データ漏洩事件が続いており、日本のホテルであっても、保有してる個人情報が狙われている、そうした認識を持ってセキュリティ体制を点検すべきかと思います。

 

尚、この漏洩した70万件の顧客データの中に日本のデータが含まれていたかについては、Choice Hotels側は情報を公開してません。(可能性が無いとは言い切れません)

 

※正確には・・・ニュースリリースに今回の事件について未だ発表が無いので分からないというのが正直な所ですが。。。

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 ããã«ã®ãã­ã³ãã®ã¤ã©ã¹ã

 


 

更新履歴

  • 2019年8月17日AM(予約投稿)

管理者アクセスは安全か?

みずほ銀行の海外子会社、これもサプライチェーン攻撃と言えるのかも知れません。

www.nikkei.com

 

みずほ銀行は15日、シンガポール連結子会社、ユーリカヘッジがサイバー攻撃を受け、顧客情報が漏洩したと発表した。ユーリカヘッジは機関投資家などにヘッジファンドの情報を提供している。顧客の担当者名やメールアドレス、電話番号など少なくとも数十件が漏洩した。顧客の口座番号などの決済、信用情報は保有していないという。

8日に同社のウェブサイトの管理者画面が不正アクセスを受けたことが判明。詳しい原因を調査している。管理していた顧客情報は約12万件あるという。

日経新聞記事より引用)

 

■公式発表 Press Release: Statement on Cyber Incident Regarding Eurekahedge 

 

◆キタきつねの所感

セキュリティに厳しい(と思われる)メガバンクであっても、サプライチェーンはそこまでセキュアでは無いのかも知れません。個人情報が数十件漏洩した可能性があると発表されていますが、気になったのは攻撃を受けた脆弱点です。

「ウェブサイトの管理者画面」が起因という事なので、0ディではなさそうです。魚拓サイトも見てみましたが、よくあるURLでは特に何も脆弱点は出てきませんでした。

 

しかし管理者画面が攻められたというのは、メガバンク子会社の金融系サイトとしては、セキュリティに問題があったと考えます。みずほ銀行のリリースを見ると、

2.対応について
①ユーリカヘッジは、サイバー攻撃者によるシステムへの再侵入等を防ぐ観点から、すでに、管理者 ID のパスワードの変更WEB サイト管理システムへの外部アクセス遮断等の処置を取っております。

みずほ銀行リリースより引用)

 

①管理者IDを変更=管理者パスワードが脆弱(あるいは使い回ししていた) 

 事を示唆していますし、

 

②WEBサイト管理システムへの外部アクセス遮断=外部から管理システムにアクセスできた 

 事を意味します。

 

①はともかく(残念ながらよくある事です)②は何の必要性があって外部(インターネット)から接続可能にしたのか?非常に疑問です。通常は内部IPに接続を絞るのではないでしょうか?また、仮に外部アクセスの必要性があったとしても、多要素認証を行う位の慎重さが必要だったかと思います。

 

外部から推測できる点がもう1つありました。今回不正アクセス被害を受けた、ユーリカヘッジのサイトはSSLの既知の脆弱性を潰して無かった可能性が高いです。(Poodle攻撃を受けた可能性もあり得ます。)

 

ユーリカヘッジの株式95%はみずほ銀行保有している訳ですから、銀行と同じ位の厳しいセキュリティチェックを子会社に対してもみずほ銀行はすべきだったのではないでしょうか。少なくても脆弱性診断をすれば、上記の脆弱点はすぐに出てきたかなと思います。

 

日経記事によれば調査中という事ですが、判明している脆弱点を見る限り、今後の調査によっては漏洩データ件数は数十件という単位ではなく、もっと(最終発表では)増えてしまう気がしました。

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 

f:id:foxcafelate:20190817151116p:plain

 


 

更新履歴

  • 2019年8月17日AM(予約投稿)