Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

通販サイトのアカウント情報登録に公用/会社アドレスを使わないで

テレビ朝日の4月3日ニュースで、中央省庁の職員約2000名分のメールアドレスが流出していると報道されていました。

news.tv-asahi.co.jp

内閣サイバーセキュリティセンターによりますと、各省庁の職員が通販サイトなどに登録した公用のメールアドレスが流出したということです。流出したメールアドレスは「ダークウェブ」と呼ばれる通常のインターネット経由ではアクセスできないサイトに掲載されていることが分かりました。登録したサイトなどに接続するためのパスワードも流出しているということです。(テレビ朝日記事より引用)

 

この件について、菅官房長官の4月4日記者会見で関連質問がされていました。

www.kantei.go.jp

時事通信記者

 中央省庁職員約2000人分の公用メールアドレスが流出している事があきらかになりました。政府として把握している事実関係はどうなってますでしょうか?

 

■菅官房長官
 まずご指摘の点でありますけれども、政府機関以外の組織が運営するインターネットサイトから、そのサイトにアカウント情報として登録されたメールアドレスと当該サイトで用いられる、パスワードが漏えいしており、その中には政府機関の職員のものと見られるものが含まれている、この様な報告を受けております。

 本件については、政府機関の情報システムがサイバー攻撃を受けたものではないということです。しかし流出した情報が悪用されることがないよう、対策を講じることが重要だと思います。この点に関しては政府の情報セキュリティ対策基準においては、政府機関の内部と外部のシステムにおいて共通のパスワード、これを使用することを禁止してます。また政府機関の業務のために使用しているメールアドレスやパスワードを私的に利用することも禁止しております。

 内閣サイバーセキュリティセンターにおいては、これまでにも各市町村や、独立行政法人に対して注意喚起を行ってきているが、昨日改めて注意喚起を行ったわけであります。

 

時事通信記者

 現在把握している流出した数というのはいくつになるんでしょうか

 

■菅官房長官

 詳細については承知をしておりません。政府としては引き続き必要な対応を行ってまいりたい、こういう風に思います。

(記者会見内容から引用)

 

◆キタきつねの所感

NISCが4月3日に中央省庁等へ注意喚起をした事を受けての報道の様ですが、官房長官への記者会見で質問をしていた時事通信の記事では、

www.jiji.com

NISCによると、通販サイトなどから利用者のメールアドレスやパスワードが流出。(時事通信記事より引用)

と、(NISCへの追加取材の結果か)どこかの通販サイトから省庁職員2000件規模の登録情報が漏えいした事を示唆しています。注意喚起の内容については、毎日新聞記事には、

  • インターネット上で複数のサイトで同じパスワードを使いまわすことの禁止
  • 必要に応じてパスワードを変更する

とありましたので、気軽に公用メールアドレスで買い物(登録)をしている職員が多い事が容易に想像できます。まさか職場で受取をしている・・なんて事は無いと信じたいのですが、公用メールアドレスの重要性について(悪用リスク高いのだと)一部の職員の方々は理解してない事は残念なところです。

 

こうしたメールアドレスがどう悪用される可能性があるかと考えると、まずはパスワードの使いまわしがされている場合は、他のサイトで不正利用が試みられるでしょうし、パスワードが使いまわしされてなかった、あるいは変更が間に合ったとしても、公用メールアドレス自体は変わってない訳ですから、標的型メール(スパムメール)で直接の攻撃対象、あるいは攻撃対象に近づくために偽造するメールアドレスとして使われてしまうリスクは防ぎきれないかも知れません。

この手のセキュリティ対策では、共用パスワード禁止および公的メールアドレス・パスワードの私的利用の禁止を啓蒙する事は重要だとは思いますが、その実現方法として、公的メールアドレスを使う位なら、私用アドレスやフリーメール(GoogleやYahoo等)を使う方がリスクが少ない事も併せて啓蒙した方が良いのではないかと思います。

 

twitter.com

この件とは直接関係無い・・・と思いたいですが、NISCでは4月に入っても楽天(ここも通販サイトでもありますが・・)やAppleを騙ったフィッシングメールが相当ばら撒かれている様です。併せて(不審なメールを踏まないよう)注意が必要かも知れません。

 

 

 

スパムメール・迷惑メールのイラスト

 

更新履歴

  • 2018年4月14日PM(予約投稿)

重要書類はシュレッダーしてから廃棄すべき

 毎日新聞4月4日記事に国交省が重要書類を紛失してしまった件が出ていました。

mainichi.jp

国土交通省は4日、大阪航空局気象庁大阪管区気象台の廃棄書類約840枚が大阪市内の路上に散乱していたと発表した。国交省は散乱文書を回収したが、個人情報が書かれた機密性の高い内部文書も含まれていた。

国土交通省は4日、大阪航空局気象庁大阪管区気象台の廃棄書類約840枚が大阪市内の路上に散乱していたと発表した。国交省は散乱文書を回収したが、個人情報が書かれた機密性の高い内部文書も含まれていた。 (毎日新聞記事より引用)

国土交通省は4日、大阪航空局気象庁大阪管区気象台の廃棄書類約840枚が大阪市内の路上に散乱していたと発表した。国交省は散乱文書を回収したが、個人情報が書かれた機密性の高い内部文書も含まれていた。
国土交通省は4日、大阪航空局気象庁大阪管区気象台の廃棄書類約840枚が大阪市内の路上に散乱していたと発表した。国交省は散乱文書を回収したが、個人情報が書かれた機密性の高い内部文書も含まれていた。
国土交通省は4日、大阪航空局気象庁大阪管区気象台の廃棄書類約840枚が大阪市内の路上に散乱していたと発表した。国交省は散乱文書を回収したが、個人情報が書かれた機密性の高い内部文書も含まれていた。
国土交通省は4日、大阪航空局気象庁大阪管区気象台の廃棄書類約840枚が大阪市内の路上に散乱していたと発表した。国交省は散乱文書を回収したが、個人情報が書かれた機密性の高い内部文書も含まれていた。
国土交通省は4日、大阪航空局気象庁大阪管区気象台の廃棄書類約840枚が大阪市内の路上に散乱していたと発表した。国交省は散乱文書を回収したが、個人情報が書かれた機密性の高い内部文書も含まれていた。

通行人から路上に書類が落ちている・・と連絡があり、調べてみると廃棄書類を処理する民間業者が車で運搬中に落した可能性がある、、、という事件。

廃棄業者の運搬管理がどうなっていたのか(扉の閉まるトラックで運搬しなかったという事でしょうか?)、一義的には気になるのですが、書類廃棄を頼んだ側、すなわち国交省側にはセキュリティ観点でいくつかの問題がある気がします。

 

www.e-obs.com

  • 「機密性のある文書は裁断などが必要だが、一般ごみとして捨てられており」という内部規定違反があった。
  • 廃棄する箱をきちんと封印してなかったのではないか?
  • 廃棄業者に国交省職員が同行する必要はなかったのか?

 

1点目に関しては、国交省も認めています。適当に処理している職員が居たのでしょう。漏れた可能性がある書類としては、

文書は航空局や気象台で作成された危機管理マニュアルなど。個人情報が記載された連絡網も含まれていた毎日新聞記事より引用)

一部シュレッダーかけるべき書類が混じっていたのは、職員が規定通りに”シュレッダーしてない”原因と対策を考えるべきでしょう。

2点目は宅配便で個人荷物を郵送する時と同様に、箱にガムテープを貼る(弱そうな箱なら補強で箱底にもガムテープを貼る)だけでほぼ終わりです。おそらく貼っておくべきガムテープが貼られてなかったのだろうと思われます。

3点目は一般ゴミだったとの認識の様ですので、やらないのが妥当だった気がしますが、組織によっては廃棄あるいは焼却を見届けるために廃棄施設まで従業員・職員が同行する所もあります。

 

この事件について調べていた所・・・同じような事件が4月13日のOBS大分放送の記事で取り上げられていました。

www.e-obs.com

料金の徴収を委託している関連会社の社員が12日、保管期限の切れた顧客リストを大分市内の営業所から別府市に運ぶ際、トラックの荷台から飛散したということです。(OBS大分放送ニュースより引用)

 

公式発表(大分瓦斯・大分コレクト)

 ■お客さま情報が記載された顧客リストの紛失について

 

2200人分の顧客情報が記載されたリスト58枚が回収できてない、とほぼ同じ様な事件です。トラックの荷台から飛散、つまり扉のあるパネルバン等の配送車ではない訳です。また飛散してしまう訳ですから、段ボール箱の封印も怪しそうですし、そもそも大分ガスの個人情報が含まれる書類の廃棄手続きは、シュレッダーしないで問題ないルールだったのか・・・と考えると、恐らく内規違反もあったと考えるべきでしょうから、主な事件原因は同じ気がします。

 

この手の事件に既視感があったのですが、少し調べてみて分かりました。

NHKが昨年10月に同じ様な事件を起こしてました

tech.nikkeibp.co.jp

10月16日、NHKへ「放送受信料クレジットカード継続払利用申込書が静岡県沼津市内の路上に落ちている」と通報があった。確認の結果、同11日に保存期限の切れた「放送受信料クレジットカード継続払利用申込書」を廃棄処分するため、廃棄業者が埼玉県川口市にあるNHKの倉庫から搬出し静岡県内で溶解処理をする過程で、同申込書が格納されているはずの1箱分が所在不明になっていることが判明したという。(IT Pro記事より引用)

このNHKの事件の場合も、個人情報漏えい(クレジットカード情報漏えい)事件となりますが、事件が繰り返されることを考えるに、また同じ様な事件が発生する可能性は高いだろうと思います。廃棄委託したのだから、廃棄業者に渡したのだから廃棄業者側の責任である!とばかりは言えないのは、委託側にも瑕疵があるからです。もう一度、自社の廃棄手順を見直すべきところも多々あるのではないでしょうか。

 

因みに私は、記事を見た当日、社内引越しに向けたシュレッダー処理を真面目にやってしまいました。(一般ゴミにこっそり捨てようと思ったのですが・・・)

 

 

 

重要な書類のイラスト

 

更新履歴

  • 2018年4月14日AM(予約投稿)

田舎の観光協会すらとりあえず狙われる時代

 毎日新聞の4月7日記事に忍野村観光協会のサーバに不正アクセスがあった件が取り上げられていました。

mainichi.jpf:id:foxcafelate:20180409063438j:plain

■公式発表

  忍野村観光協会HP (事件に関する直接の発表は見当たらず)

 

事件の状況 
  • 忍野ムラ観光協会のサーバへの不正アクセスにより、同協会が主催したイベント参加者らの個人情報延べ647件(名前、住所、メールアドレス)が漏えい
  • 匿名で「個人情報がインターネット上に流出している」との連絡を受け調査したところ、海外のサイトに個人情報が載っていた
  • 3月1日に県警からホームページが改ざんされていると情報を受けたが、当時は流出を確認できず

 

◆キタきつねの所感

山梨県側から富士山を一望できる良い所なのですが、小さな村であってもサーバが立てられていれば、とりあえず攻撃してみる、そんな時代なのだと思わせられる事件だと言えるかも知れません。

事件の経緯を調べても、毎日新聞の記事に書いてある事程度しか出てこないのですが、セキュリティの専門家が”居ない”であろう、規模の小さな市町村では、県警がホームページ改ざんがあると連絡した事の意味を深く捕らずに、詳細調査が出来なかったのも仕方がない部分があるかも知れません。

 

観光協会のHPには、以下のお知らせが載っていました。

f:id:foxcafelate:20180409063441j:plain

 

4月4日にホームページがしたとの内容で、中を見てみると、

 

f:id:foxcafelate:20180414062047j:plain

長期の「システム障害」でホームページを閉鎖していた、との記載があります。これが事件を受けて調査、及びこれ以上の情報漏えいを防ぐために、保存していた個人情報を公開サーバ上から削除する対策を打っていたものと推測します。

とはいえ、毎日新聞の記事が正しければ、観光協会側では『個人情報漏えいを確認済』ですので、本来は正式にリリースを出すべきかと思いますが、あまり大事にしたいないのでこの表現に留めたのかも知れません。

 

因みに、小さな市町村の観光協会が、セキュリティを専門家を置かない(=あまり考えずにしておく)ためには、保存する個人情報を最小限にする事が一番の近道です。

毎日新聞の記事には漏えいした個人情報(イベント参加者)は延べ647件と書いています。延べという事は、重複するデータがあると考えられますので、過去のイベント参加者のデータを保存していた事になります。過去の参加者データを今回不正侵害を受けた、公開サーバあるいは公開サーバから接続可能な場所に長期間保管する必要はなかったものと思われますので、もし過去のイベント参加者・応募者のデータをExcelでも良いので別の場所に移管して、公開サーバから削除していれば、不正侵害の被害は最小限(被害無し)に抑えられた可能性が高いと言えます。

 

※参考まで、PCI DSSでは(カード情報が対象ですが)、例えば3.1項で『保存するカード会員データを最小限にする』と規定しています。

f:id:foxcafelate:20180414064519j:plain

 

余談ですが、攻撃側から見て『襲われやすい』条件の1つとなりかねないポイントとして私が考えるのは、コピーライト部分です。

f:id:foxcafelate:20180409063444j:plain

忍野村観光協会HPはとても綺麗なデザインなので、外注制作しているものと思いますが、コピーライト部分の年号が2013年で更新されていません。(外注企業が気がつかなかったのかも知れませんが)例えば5年近くトップ画面のデザインが変更されていないのだとすれば、サーバ等の脆弱性パッチも、もしかすると『5年更新されてない』可能性があると、攻撃側に推測されてしまうかも知れません。

セキュリティの考え方では、こうした脆弱に見える点を防ぐ(2002-2018か、隠す年号を敢えて表記しない)のが有効と言えます。前者は更新を運用で頑張る、いわゆる普通の手法ですが、後者は更新があまりされないサイトでも、攻撃側に情報を与えないことに繋がりますので、小さな点ではありますが、お勧めの対策です。(プレゼ資料でも同様に年号更新ミスしている方をよく見ますのでご留意を)

 

 

追記:別記事で調べ物をしていたら・・NISC(内閣サイバーセキュリティセンター)のトップページもアレでした。

f:id:foxcafelate:20180414091321j:plain

もしかすると年号を更新しないのが正しいセキュリティ対策なのかも知れません(違)

 

富士山のイラスト

 

更新履歴

  • 2018年4月14日AM(予約投稿)

ポルシェの不正アクセス最終報告

ポルシェ ジャパンが2月26日に公表した不正アクセス事件についての最終報告を4月9日に公表しました。

www.porsche.co.jp

f:id:foxcafelate:20180414173455j:plain

 

■公式発表

 不正アクセスによるお客様情報の流出に関するお詫びと調査報告の最終報告(4/9)

 不正アクセスによるお客様情報の流出に関するお詫び(2/26)

 

◆キタきつねの所感

外部のフォレンジック調査の結果として、2月に公表した流出データから変わった点では、ドライビングスクールへの資料請求をした顧客情報が2855件追加となっていました。(2月時点で調査中だったメールアドレスはテスト用だったことも判明)

結果として、2月の発表では28,722件であったのが、最終報告では31,574件となっていました。新たに判明した顧客情報は、メールアドレス以外にはパスワードのハッシュですので、すぐには影響は無いかも知れませんが、ハッシュの方式・持ち方(ソルト・ストレッチはしてたの?)によっては、レインボーテーブルに当たってしまう可能性もある為、漏えい対象の顧客(ユーザ)はやはりパスワードを変更すべきかと思われます。

f:id:foxcafelate:20180414174139j:plain

この手の最終報告書で気になる所は、不正アクセスの原因と、②追加対策(弱かった部分が浮かび上がってくる事が多い)の発表なのですが、

 

①については、

当該攻撃への対策として独立行政法人情報処理推進機構が推奨する対策が実施されていることが確認されました。

不正アクセスを行った第三者は、不正アクセスのログをもとに調査をしておりますが、特定には至っておりません

(最終報告書から引用)

Webアプリケーションの実装がIPA推奨ではなかった事が報告書から分かります。OWASPトップ10にある様なSQLインジェクションのような脆弱性を突かれたという事なのでしょうが、原因は報告書では公表されていませんので、もしかすると複数の脆弱点を抱えていた(=恥ずかしくて公表できない)のかも知れません。

アクセスログからの調査に関しては、前記事でも書きましたが、ログが1ヶ月しか残ってないという、かなり致命的なログ管理体制だったので、(材料不足で)特定は・・非常に困難(おそらく無理)だと推測します。

 

②の再発防止策については、

  1. システム開発におけるセキュリティに関する審査手続きの厳格化
  2. お客様情報を取り扱う新規又は既存のシステムに対する第三者によるセキュリティ診断の実施
  3. お客様情報を取り扱う委託先のセキュリティ対策に対する監査

という発表でしたので、ポルシェ ジャパンは、

 1 セキュリティを意識せずに委託先は開発を進めていた(開発要件仕様になかった

 2 顧客情報を扱うシステムは三者のセキュリティ診断を行ってなかった(行うべきだった)

 3 顧客情報を扱う委託先にセキュリティ監査を実施してなかった

事が分かります。

 

平たく言えば、セキュリティを考えてない企業体質であった事をポルシェ ジャパンは反省してますという事になるのだと思います。

 

とは言え・・・3項目目は、もしかすると難しいのではないかと推測します。委託先管理ができるか?という部分に関して、そこが出来てなかったから事件を起こしている訳であり、本社ドイツからのサポートがあるとしても、(前記事でも下記を引用しましたが・・・)

f:id:foxcafelate:20180414192420j:plain

社員数が65名で、販売系に多くのウェイトが置かれているであろう事を想像すると、セキュリティ監査を日本主体で行うためには、恐らく外部から人をスカウトしてくるしか無いのではないでしょうか?(自社で育てる時間が無いとした場合)

本社から技術陣を呼んで委託先を定期監査する手もあるかと思いますが、英語で委託先監査を実施する(翻訳する)事になりますので・・・意思疎通や頻度も含め、やはり意図している委託先管理の実現は面倒かも知れません。

 

 

参考:

foxsecurity.hatenablog.com

 

更新履歴

  • 2018年4月14日PM(予約投稿)

プレミアム・アウトレット会員情報漏えい事件

日経xTECHの4月6日にプレミアム・アウトレットの会員情報が漏えいしている件を報じました。

tech.nikkeibp.co.jp

 三菱地所・サイモンが運営するショッピングモール「プレミアム・アウトレット」の会員情報と思われる約43万件のデータが、海外のストレージサービスに公開されていることが、都内在住のセキュリティリサーチャーからの情報提供で2018年4月6日に明らかになった。

 ストレージサービスには、「www.premiumoutlets.co.jp.txt」という名前で公開されたファイルに、42万9750件のメールアドレスとパスワードが含まれる。パスワードは暗号化されておらず、そのまま読めるようになっている。リストには、同じメールアドレスが複数登録されたものも見つかっている。

 漏洩した情報は、プレミアム・アウトレットの会員サービス「ショッパークラブ」の会員情報である可能性が高い。公開されているファイルには筆者の会員情報も含まれており、このサイトで登録したパスワードが記載されていた。

 情報提供者によれば、2月に様々なWebサイトから漏洩したと思われるメールアドレスとパスワードの組み合わせの一覧が一斉に公開され、今回のファイルはその中の一つだと思われる。

(日経xTECH記事より引用)

 

おそらくこのスクープを受けて、三菱地所・サイモンが4月7日に会員情報が流出した可能性があると発表しました。

tech.nikkeibp.co.jp

 

4月14日に初報された約43万件の漏えいした疑いのある会員情報に対し、三菱地所・サイモン約27万件が流出したと公式に認めました。

mainichi.jp

■公式発表

  ショッパークラブ会員情報に関するご報告(4月14日)

 会員情報流出の可能性について(4月7日)

 

◆キタきつねの所感

事件が明らかになったきっかけの都内在住のセキュリティリサーチャー(※当然私ではありませんが)が誰なのかも気になる所ですが、一番の問題だと思うのが、DarkWeb的なストレージサービスに公開されていたプレミアム・アウトレットの情報には、どうやら会員メールアドレスと「平文パスワード」が含まれていそうなことです。

公開されているファイルには筆者の会員情報も含まれており、このサイトで登録したパスワードが記載されていた

(日経xTECH記事より引用)

三菱地所・サイモンの4/14リリース内容も確認してみましたが、漏れたのが「ハッシュ化されたパスワード」という記載ではなく、単に「パスワード」という記載しかなく、

■現在の確認状況

・ショッパークラブから流出した可能性がある情報としてメールアドレス及びパスワードデータが外部に存在することが確認されました。

・うち約24万件分につきましては、現時点でお預かりしている会員情報とメールアドレスとログインパスワードの組み合わせが合致しており、約3万件分につきましては、メールアドレスのみ合致していることが確認できました。

・メールアドレス、ログインパスワードを除くご登録情報(ニックネーム、性別、生年月日、都道府県)につきましては外部データに含まれておりませんでした。

(4/14ショッパークラブ会員情報に関するご報告より引用)

漏えいしたリストとパスワード照合できた・・・という事、及び日経記者さん個人のパスワードを確認したとの記事内容から、漏れていたリストに含まれている情報が平文パスワードであった事はほぼ間違いないものと思われます。

リリース内容には、メールアドレスとパスワード以外は漏えいしてない、と推測される内容がありましたので、会員サイトに対するパスワードリスト攻撃という可能性は低く、内部漏えいか、不正アクセスからの漏えいという可能性になるかと思います。

 

しかし、リリース内容の「今後の対応」部分には、

■今後の対応

※尚、今後の情報流出を防止するため、会員情報データベースをネットワークから切り離し安全に隔離しております。これに伴い新規会員登録受付及び既存会員のログインも停止しております。

(4/14ショッパークラブ会員情報に関するご報告より引用)

とあるので、内部犯行ではなく、会員情報データベースに対する何らかの不正アクセスと運営側が認識していると解釈できそうです。

だとすれば、やはり平文でパスワードを会員情報データベースに持っていたか、ログイン認証画面に「情報窃取」されるスクリプト等をしかけられた(Web改ざんされた)可能性が考えられそうです。

 

会員ログインの画面は停止しているので確認できませんでしたが、

f:id:foxcafelate:20180415084142j:plain

ショッパークラブのトップページはHTTPSEV証明書になっていましたので、サイトへのセキュリティ実装が弱かった訳ではない気がしますが、会員情報データベースに不正アクセスをされてしまう何らかの脆弱点(SQLインジェクションがまず頭をよぎりますが・・)を抱えていたのかと推測します。

 

いずれにせよ会員サイトは狙われやすい前提で、「防御」だけでなく、「検知」「回復」を意識したサイト構築をしないといけないのだと思います。

 

DoS攻撃のイラスト

 

更新履歴

  • 2018年4月15日AM(予約投稿)

九州商船の最終報告書が勉強になる

九州商船が1月にWeb予約システムへ不正アクセスを受けた件で3/30に最終報告書を出た旨、Zdnetに記事が出ていました。japan.zdnet.com

弊社WEB予約サービスに対する不正アクセスに関する最終報告|九州商船

 

結局1月から3月5日までWeb予約システムを止めなければならなかったようです。最終報告書を読む限り、(フォレンジックを担当した)長崎総合科学大学工学部 大山教授を委員長とする調査委員会の見解としては、不正アクセスによる個人情報漏えいは無かったという結論となったようです。

では何故不正アクセスがあったのかといえば、解析結果では不正アクセスを仕掛けて来た理由としては『仮想通貨のマイニング』が狙いであったので、個人情報まで取得できた可能性があるのですが、そちらに目が向いてなかったということのようです。

今回の調査報告では、2つのPDFが公開されています。

 

上は・・・まぁ個人情報漏えいがありませんでした、という調査概要となります。

3. お客様情報漏えいの蓋然性
本件不正アクセスが、九州商船株式会社を特定して行われてものではなく
もっぱら機械的な探索と、暗号通貨の発掘を目的としたものであり
データベースログ上にデータ持ち出しの痕跡が発見されなかった
ことから、本件不正アクセスによって、お客様情報が漏えいした可能性は極めて低いと考えられる。

 

上記の「仮想通貨狙いだったので顧客情報は漏えいしてないと考えられる」という調査結論部分と、

 

4.再発防止策の提言
(1)不要なサービスの停止、ポート、アクセス元の制限
   →FTPは使用しない、IPアドレスによる制限等の実施
(2)メンテナンスアカウントのセキュリティ強化
   →証明書を使用したssh等の利用
(3)継続的なシステムのアップデート
   →アップデート時の動作検証を速やかに行う体制の整備
(4)不正アクセスを意識した設計とコーディング
   →多層防御を意識した設計(パスワードのハッシュ化含む)、
    外部パラメーターを信用しないコーディング
   →コードレビューの一環としての自動化テスト
(6)ログの定期的な監視
   →ログにノイズとなる情報が出力されない様なコード整備、ログ監査の
    自動化を実施し、継続する体制を整備すべきである。
FTP使ってたんだ・・・という部分は気になりましたが、その他は管理者アクセスの強化、パッチ当て、
多層防御、コードレビュー、ペンテスト、ログ監視と一般的なセキュリティ対策の範疇ではありますが、
対策例として参考になります。
 
しかし、今回の最終報告書で読んでいて面白かったのは「解析編」です。どうやって推定無罪の論旨とした
のか、こうやってフォレンジック調査を進めるのか、といった普段の事件では公開されないポイントがあり、
その手法(注意すべきポイント)について勉強になりました。
 
個人情報漏えいの観点だけでなく、仮想通貨マイニングプログラム(マルウェア)を仕掛けられた時の
調査手法としても参考になる部分が多いのではないでしょうか。
 
 
参考:
 

豪華客船・フェリーのイラスト

 

 

更新履歴

  • 2018年4月8日PM(予約投稿)

ディズニーのTLS対応(PCI DSS)

 Disney.JPサイトでTLS1.1以下の対応について発表されていました。

www.disney.co.jp

このたび、インターネットで通信内容の保護に使用する暗号化方式「TLS1.0」および「TLS1.1 」において脆弱性が発見され、保護すべき通信内容の一部が漏えいする可能性があると報じられたことを受け、Disney.jpでは2018年6月20日(水)より「TLS1.0」および「TLS1.1 」の利用を停止しより安全な 「TLS 1.2 」へ移行いたします
そのため一部の古いブラウザや、ブラウザの設定によっては、サイトの一部が表示されなくなりますのでご注意ください。

リリース記事から引用

 

◆キタきつねの所感

このリリース内容は、日本のディズニーが『PCI DSSの期限にしっかり合わせてきましたね』と思うだけでなく、TLSバージョンサポートを1.2以上にする事による『可用性』影響を悩む他のECサイト(決済を伴うサイト)にも良い影響を与える発表になったなと思います。

 

詳しくは下記を参照頂ければと思いますが、この背景事情としては、

SSLやTLS1.0、1.1(の多く)は、安全性が懸念される暗号プロトコルとなり始めていると言われ、PCI DSS規定では、既存認定を受けている事業者も2018年6月末までしかSSL/TLS1.0, 1.1を使ってはいけない事となっています。(その次の認定審査を落ちる可能性があります)

 

現在の規定は、

  • PCI DSSv3.2 付録A2 (初期の TLS を使用している事業体向けの PCI DSS 追加要件)

すべてのサービスプロバイダは2016年6月30日までに安全なサービスを提供しなければならない。

2018年6月30日以降、すべての事業体はセキュリティ制御としてSSLおよび初期のTLSの使用を停止し、安全なバージョンのプロトコルを使用する必要がある。(特定のPOS POI端末のための容認は、以下の最後の箇条書きで説明されます)

2018年6月30日より前までは、SSLおよび/または初期のTLSを使用する既存の実装は正式なリスク低減策と移行計画を定めている必要がある。

SSL および初期の TLS の既知の悪影響を受けないことが検証できるPOS POI 端末(およびSSL/TLSの接続終端地点)は、2018年6月30日以降もこれらをセキュリティ制御として使用し続けることができる。

POS端末など一部の例外を除き、2018年6月末までにTLS1.2以降に切り替える事が推奨されています。(※TLS1.1の実装によっては安全なプロトコルと見なされる場合もあります)

 

早く安全なプロトコルに変えてしまえばいいのではないか?と思う方も多いかも知れませんが、PCI DSSv3.1で2016年6月末までに変更しろ!というルールになっていた際にも、世界中で大問題となり、v3.2で2018年6月に延期となりました。

その原因は、日本市場では例えばガラケーがTLS1.2以降をサポートしてない(事が多い)点であったり、古い端末やブラウザの機能制限であったりします。安全でないので接続できない、というセキュリティ上では正しいであろう事も、自社のユーザに対してサービスレベルが落ちる事を意味する場合も多いので、ギリギリまで対応を悩まれる企業が多いのだと思います。

そんな中で、ある意味予定通りではありますが、他への影響力が大きいディズニーがTLS1.2以降へ切り替えると発表した今回のリリース内容は、多くの日本企業を勇気付ける(社内を説得する良い言い訳になる)のではないでしょうか。

 

7月1日はある意味ガラケーの終わりを象徴する日になる、かも知れませんね。

 

遊園地のイラスト「お城・ジェットコースター・観覧車」

 

更新履歴

  • 2018年4月8日PM(予約投稿)