Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

アマゾンでも”やらかす”時代

私の購買履歴もどなたかに開示されていたのでしょうか・・・今や巨大インフラと化しているアマゾンの誤表示問題ですが、11万件に影響を与え、個人情報保護委員会から行政指導を受けていました。

japan.cnet.com

 

通販サイトの「Amazon.co.jp」で、他人の注文履歴が誤表示されてしまう事象が、9月26日に発生した。Amazon.co.jpで注文履歴を選ぶと、そこに身に覚えのない注文履歴が並んでいるというものだ。同社によれば、システム変更時の設定の不具合によるものだという。

これを受け、個人情報保護委員会は10月11日、アマゾンジャパンに行政指導したことを発表した。同委員会が明らかにした情報によれば、この事象は9月26日中に解消されたそうだが、これにより、約11万アカウントの利⽤者の個⼈情報(利⽤者により異なるものの、⽒名、配送先住所、注⽂履歴、閲覧履歴などを含む)が、他の利⽤者に表⽰された可能性があるという。

(中略)

 なお、今回の事象が、システム変更時に発⽣したことを踏まえ、ウェブサイトのプログラム修正、バージョンアップなどの変更・修正を⾏った場合は、⼗分な動作試験を⾏うとともに、脆弱性の有無についても確認することが重要であることについて、再度注意喚起するとしている。

(CNET Japan記事より引用)

 

◆キタきつねの所感

Amazonでこれだけ大きなトラブルが出たのは久々な気がします。最初は「ごく一部」と言っていたのですが、最終的には11万件に影響した可能性があると報じられています。

被害件数については「Amazon.co.jpアカウントのごく一部」との回答にとどめていた。

(InternetWatch記事より引用)

まぁAmazonにとっては、11万件が「ごく一部」なのは合っている気はしますが、社会基盤化しているといっても過言ではないAmazonの場合、1日で不具合が改善されたにも関わらず、多くのユーザに影響が出てしまう事を考えると、PGの修正管理(リリース管理)はもう少しチェックプロセスを入れるべきだったのだと思います。

 

因みに、Amazonは一度ログインが成功すると、多くの情報にアクセス可能ですので・・・難しいのかと思いますが、注文履歴やその他の個人情報閲覧には、オプションでも良いのでログインで使う2段階認証が使える様になって欲しいと、1ユーザとして思います。

 Amazon.co.jp ヘルプ: 2段階認証について

 

f:id:foxcafelate:20191019104821p:plain

ログイン画面以外で、追加認証を求められるのは、「ログインとセキュリティ」(アカウント情報の変更が可能)の所くらいでしょうか。不正閲覧の可能性がある情報を隠すには、追加認証(オプション)くらいしか思いつきません。

 

別な記事を見ますと、アマゾンは再発防止策のとりまとめを命じられた様ですが、

表示ミスを検証せずに本番リリースしてしまった事が一番大きな原因なので、ユーザビリティが落ちるこうした機能への保護機能追加は・・・あまりAmazonも考えない気もします。

そして個人情報の取り扱いに問題があったとして、11日付けでアマゾンに対し、再発防止策の取りまとめと利用者からの問い合わせへの対応を確実に行うよう行政指導しました。

NHKニュース記事より引用)

 

個人情報保護委員会の追記コメント内容が出ていて、

また個人情報保護委員会は今回の問題を受けて、ほかのサイトの運営事業者に対してもプログラムの修正やバージョンアップなどをした場合は動作試験を十分行うとともに、システムにぜい弱性がないか確認するよう注意喚起を行いました。

NHKニュース記事より引用)

 

王道的なセキュリティ対策を出しています。

動作確認(今回の様な誤表示を検証してから本番リリースする)は当然その通りです。おそらくアマゾンもここは再発防止策として出してくると思います。

しかし、脆弱性診断してからの本番リリースをする(と読み取れる)内容は、ちょっとアマゾンに厳しい内容が含まれている気がします。

魚拓サイトでアマゾントップページの更新変遷を見ていると・・・当該の26日だけでも23ショット取られている事でも伺えますが(※プログラム対応も含むとは思いますが)、サイト変更は頻繁ですので、機能修正もそこそこ頻繁に行っていると思います。だとすれば、数多くの部分修正まで脆弱性テストをすると効率が極端に落ちそうですので、、、私見ですが、アマゾンの追加対応策にはあまり書かれない気がします。

f:id:foxcafelate:20191019104949p:plain

 

 

 

 

余談です。今回の事件を受けて、個人情報保護委員会「改めて」注意喚起・・という部分で、前はどうだったのか?と思って探してみたのですが、おそらくこの資料(H31.7.12改訂)だと思います。ご参考まで。

 

個人情報ヒヤリハットコーナー

WARNING ~ウェブサイトを運営している事業者の皆様への注意喚起~

f:id:foxcafelate:20191019112927p:plain

 

 

 

※11/6(水)に日本プライバシー認証機構(JPAC)様からセミナーのお話を頂きました。国内のカード情報漏洩のみならず、海外のあまり知られてないカード情報漏洩事件などを解説したいと思ってます。良かったら下記開催案内もご覧いただけたら幸いです。

www.jpac-privacy.jp

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

割れたパソコンのモニタのイラスト

 


 

更新履歴

  • 2019年10月5日PM(予約投稿)

変なホテルはバグ報告を無視して火傷した

H.I.S.が運営するロボット接客が斬新な「変なホテル舞浜」でIoT機器のハッキング懸念問題が報じられていました。 

www.itmedia.co.jp

 

 ロボットが接客するホテルチェーン「変なホテル」を運営するH.I.S.ホテルホールディングス(HD)は10月17日、「変なホテル舞浜 東京ベイ」(千葉県浦安市)の全100室に設置していた卵型コミュニケーションロボット「Tapia」に脆弱(ぜいじゃく)性が見つかったと発表した。悪意のある宿泊者がプログラムに攻撃を加えると、不正操作できる状況だったという。

 H.I.S.ホテルHDは調査の結果、同ロボットに不正なプログラムが仕掛けられた形跡はなかったとしている。セキュリティー対策強化も済ませたという。

(Itmedia記事より引用)

 

◆キタきつねの所感

変なホテルは、今や国内18か所で運営されている様です。ハウステンボスのホテルが2015年のオープンした際には大きな話題となりましたが、結構増えてますね。

f:id:foxcafelate:20191019122549p:plain

 

変なホテル舞浜のロボットはどんなものがあったのかとみて見ると、恐竜ロボット、ゴミ箱ロボット等と一緒に、今回問題となった【客室コンシェルジュロボット「タピア」】がホテル設備として紹介されています。

f:id:foxcafelate:20191019122815p:plain

 

ホテルの部屋を見ると、タピアがこのホテルの売りになっているのが良くわかります。

f:id:foxcafelate:20191019142520p:plain

(写真は変なホテル舞浜HPより引用)

 

今回のTwitterでの大騒ぎの経緯を見ると、ホテル側の対応があまりに悪すぎたと感じました。まずホテル側の動きをみて見ると、宿泊客であったLance R. Vick氏が、ホテル側が90日無視したので、0ディを投稿でバタバタが始まります。セキュリティエンジニアでもある彼の投稿、あるいは0ディの公開の仕方は、少なくても海外では一般的なやり方を踏襲している様に見えます。

 

Twitterの投稿を追いかけてみると、

f:id:foxcafelate:20191019143849p:plain

1週間が過ぎたので、0dayを落としています。 日本の有名なロボットホテルに配備されているベッドに面したタピアロボットは、将来のすべてのゲストにリモートカメラ/マイクアクセスを提供するために変換することができます

頭の後ろのNFCを介した未署名のコード。

ベンダーには90日がありました。彼らは気にしませんでした

 

本日の本題は、恐らく多くの人が見てないであろう、このTweetに対するコメント欄です。含蓄があります。

f:id:foxcafelate:20191019152949p:plain

 

これは、私が侵害した多くのIoTデバイスの1つであり、その多くはおそらく決して公開されないでしょう。

カメラやマイクを備えた独自のデジタルアシスタントやIoTデバイスを避けるように人々に促そうとするとき、それには十分な理由があります。

 

厳しい契約条件に取り組んでいるランダムな契約エンジニアが、あなたの安全とセキュリティを第一に考えるのに時間がかかったとは信じないでください

好奇心を保ちすべてをバラバラにしてください。セキュリティ上の欠陥が見つかります。彼らはどこにでもあります。

 

この危険なロボットが愛らしいと感じて、それを手に入れて、自分自身を楽しませるためにオープンなファームウェアを作りたいと思ったのは奇妙ですか?

 

ホワイトハッカー(バグハンター)と言える、Lance氏のコメントを見る感じでは、このロボットに非常に興味があって調べてみようと思ったら、思いのほか、簡単にカメラやマイクを使える脆弱性に辿りついてしまったので、ホテル側に善意で知らせたら90日も無視されたので、Twitter上で公開した。そんな経緯が見えてきます。

ホテル側はバグ報奨金目当て(悪戯?)の外国人だから接触しなかったと書かれていますが、(文面を見てませんので正しいか分かりませんが)やはり初動を間違えたのではないでしょうか?

 

コメント欄には変なホテル(HIS)側に報告されたであろう、侵害の仕方が書かれています。NFCタグ機能がオープンになっていて、(上手くやると)端末の設定画面に入り込める脆弱があった事が大きな問題だった気がします。(この機能を残したのはメンテナンス理由でしょうか?)

f:id:foxcafelate:20191019153321p:plain

侵入詳細手口(のヒント)については、Twitterコメントでもう少し詳しく書かれていますが、ここでは割愛します。(興味ある方はLance氏のコメント欄を覗いてみて下さい)

 

f:id:foxcafelate:20191019152415p:plain

彼らは、これらのホテルをさらに8つスピンアップし、2020年のオリンピックに備えてさらに多くのホテルに技術のライセンスを供与することを計画しています。

これを共有して、彼らがセキュリティとプライバシーに不注意になるのを可能な限り難しくするようにしてください

セキュリティ対策が検証されてないIoT機器の他のホテルへの拡大を懸念した投稿かと思います。今回の件が1つのきっかけになって、IoT機器サービスの本番リリース前での脆弱性を一般化が広がると良いかなと思います。

 

最初の投稿の後も、Lance氏は、その影響をウォッチしていた様です。

f:id:foxcafelate:20191019151009p:plain

うわー。私がひどいセキュリティのために外出したホテルチェーンは、ダメージコントロールモードになっています。彼らはホテルのチェーンについてのポジティブな記事でツイッターを急増させており、この投稿が最初に見つかるものではないことを確認しています。

それを変更しましょう:)

Twitterでネガティブな投稿を、ポジティブな投稿で埋めて(薄めて)見えにくくした・・という内容だと思うのですが、これは確認できませんでした。FacebookInstagramに公式アカウントは見つけたのですが、Twitterは見つかりませんでした。。。ハッシュタグの事ですかね?

 

では、ホテル側(タピアを開発したMJI)を見ていくと・・・

 

 H.I.S.ホテルHDによると、ツイートにある通り、約90日前の7月6日にセキュリティの脆弱性を指摘するメールが宿泊客から届いていたという。これを受け、同社とTapiaの開発元であるMJIが共同で調査したが、「不正操作を含めたリスクは極めて少ない」と判断。メールは報奨金など見返りを目的とした不審なものだと結論付け、差出人との接触を避けたとしている。

(Itmedia記事より引用)

 

不正操作を含めたリスクが少ないと判断したのは、どういう根拠だったのかというのが気になる所ですが、この調査によるリスクアセスメントが正しいのであれば、Lance氏の90日後のTwitterコメントにも堂々と『問題ない』と言い切るべきなのではないでしょうか?

 

ネットや一部マスコミなどに拡散されて、慌てて16日に『メンテナンス』に入るのは、調査結果に対する判断に問題があった様にしか思えません。

 

客室ロボット「タピア」メンテナンスのお知らせ | 変なホテル舞浜 東京ベイ【公式】

f:id:foxcafelate:20191019123152p:plain

 

 

翌17日には、SNS投稿に対する対応(ネットやマスコミが騒いだから出したリリース)では、非常に残念な事に、MJI社の再調査で

「変なホテル舞浜 東京ベイ」の客室ロボットに関するSNS投稿の内容について | 変なホテル舞浜 東京ベイ【公式】

f:id:foxcafelate:20191019123328p:plain

 

 

NFC「Near Field Communication」経由による不正アクセスという内容のSNS投稿が10月12日(土)にあり、再度MJI社に調査依頼をした結果、一部悪意を持った宿泊者が、直接ロボットを操作することでのリスクについては 否定ができないことが、10月16日(水)に判明した』

 

と前言を翻します。

 

確証はありませんが、Lance氏がこの写真をTwitter上であげたので、言い逃れできないと考えたのではないでしょうか。

f:id:foxcafelate:20191019155612p:plain

タピアはホテル仕様の色ですし、写真を拡大して見ると・・・どう見ても設定側に入られている様にしか思えません。(前回調査って何をやったんだろうなー棒。本当に調査したのかなー棒)

f:id:foxcafelate:20191019155929p:plain


では、一番技術的に詳しいMJI社の見解をみて見ると、こちらもリリースを出しています。

mjirobotics.co.jp

 

セキュリティ面における脆弱性について指摘をいただいた経緯について
弊社は、H.I.S. ホテルホールディングス社が運営する宿泊施設「変なホテル舞浜 東京ベイ」の客室に設置されている弊社製品に関して、H.I.S. ホテルホールディングス社より、「セキュリティ面における脆弱性」を指摘するメールを宿泊者から受け取った旨の報告を受けました。H.I.S. ホテルホールディングス社と弊社にて調査した結果、外部からのセキュリティハッキングによる不正操作を含めたリスクが極めて少ないと判断しました
しかしながら、後日、H.I.Sホテルホールディングス社より、SNS上に、NFC「Near Field Communication」経由による不正アクセスが可能であることを指摘する投稿がある旨の報告を受けました。弊社にて再度の調査を行ったところ、H.I.Sホテルホールディングス社に納品した製品に関し、特定の条件下においてNFC経由による不正アクセスの危険性が否定できないことを確認しました。

弊社の対応について
弊社は、H.I.S. ホテルホールディングス社の宿泊施設の客室に設置されている製品の全台について調査を実施し、不正なアプリケーション等のインストールがされていないことを確認するとともに、NFC機能を停止する措置を講じました

弊社製品への影響について
今回の危険性は、悪意を持った第三者がロボット本体を目の前で直接不正操作することによっておこりえるリスクであり、ネットワークなどを通して外部から第三者がロボットにアクセス出来るというものではありません
また、弊社製造した製品全てについて今回と同様の不正アクセスの危険性が存在するわけではございません。ご利用のお客様で不明な場合は、大変お手数ではございますが下記までお問い合わせください。

MJI社リリースより引用)

 

やはり同じ疑問に行きつきます。前回調査は何を調査したのでしょうか?

推測になりますが、Lance氏は今回Twitter上で開示された、脆弱点(ハッキングの方法)はメールで伝えてきたと思います。

f:id:foxcafelate:20191019153321p:plain

 

検証側(H.I.S.とMJI)は、Lance氏の手順通りに試してみれば(とても分かりやすい英語でしたので、、、英語が読めなかったという事はないと思います)、恐らく設定画面にたどり着けることがわかったと思います。ではポイントは何か?と言えば、リリースに透けてみえる文言があります。

 

まずは最初の調査結果の部分ですが、

外部からのセキュリティハッキングによる不正操作を含めたリスクが極めて少ないと判断しました

 

バグ報告者(Lance氏)は内部攻撃である事を明示している中で、『リスクが極めて少ない』と判断できたとすれば、何を根拠にそう言っているのかが非常に疑問です。

 

もう1か所、MJI社の製品影響に対してはそうなのかも知れませんが、やはりリスク判定の方法に間違いがある気がします。

弊社製品への影響について
今回の危険性は、悪意を持った第三者がロボット本体を目の前で直接不正操作することによっておこりえるリスクであり、ネットワークなどを通して外部から第三者がロボットにアクセス出来るというものではありません

 

 

このリリースににじみ出ている、外部からの攻撃手法では無いのでリスクは少ない』という考え方は、多数の客が泊まる『ホテル』としては危険な考えだと思います。

 

同様なホテルへの攻撃例では、少し前に話題となったホテルのWifi経由でホテル宿泊者にマルウェア感染を起こさせた『ダークホテル』のケースでも、攻撃者が直接施設に出向いてWi-Fiルーターをマルウェアに感染させたケースもあると報告されています。

www.nikkei.com

 

ホテル側は、タピアへは部屋に泊まる客が限定され、特定されているから問題ないと判断したのかと推測しますが、仮にホテルでこの攻撃が成功していた場合、すぐに不正を検知できなければ、不審な動画/音声ソフトをダウンロードした事に長期間気づかない可能性があるのです。

タピアはインターネットに常時繋がっている(であろう)IoT機器ですので、その間は盗聴された動画や音声が外部に漏洩し続ける可能性があり、一方でその容疑者の数は日数と共に増加していきます

ホテル宿泊客だけでなく、清掃係の方も部屋に入るでしょうし、何か機材故障でもあれば、ホテルの技術スタッフや外部修理業者が部屋に入る事もあるかと思います。

 

こうした状況を鑑みると、ホテルの部屋に物理的に入らなければ攻撃は成立しない(内部攻撃が必須である)事を根拠に『リスクが極めて少ない』とは、少なくてもセキュリティコンサルタントとしての自分は言い切れません

 

H.I.S.とMJIの(初回の)検証チームにセキュリティ担当の方は居たのでしょうか?

 

もし外部のコンサル等を使っていれば、早い段階でLance氏に詳細確認をすべきとの助言を入れたと思いますし、それが仮に悪戯だと思ったとしても、バグ報告を受けた内容を検証すれば、恐らく脆弱点には気づいたと思いますので、早い段階でNFC機能を停止する』選択をさせたと思います。

 

 

 

 

※11/6(水)に日本プライバシー認証機構(JPAC)様からセミナーのお話を頂きました。国内のカード情報漏洩のみならず、海外のあまり知られてないカード情報漏洩事件などを解説したいと思ってます。良かったら下記開催案内もご覧いただけたら幸いです。

www.jpac-privacy.jp

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

コンピューターを使うロボットのイラスト

 


 

更新履歴

  • 2019年10月19日AM(予約投稿)

 

 

 

 

カジノの内部不正

カジノホテルのセキュリティというのはハリウッド映画のオーシャンズシリーズでも”狙われた”程に、よく攻撃対象になるが故に、しっかりしたセキュリティ設計思想がされていると言われていますが、内部犯行への備えは穴がある場合もある様です。日本のカジノ解禁は2025年頃とも言われてますが、穴が無い様に準備が必要なのかもしれません。

www.macaushimbun.com

 

 マカオ司法警察局は10月11日、カジノ会員カードのポイント記録を不正に改ざんし、積算ポイントを使ってホテル宿泊と交換した上、第三者に販売して現金化し、利益を得たとして、コタイ地区にあるIR(統合型リゾート)併設のカジノ施設の従業員ら男女4人を逮捕したと発表。

 同局の発表によれば、今年9月にカジノ施設から従業員が詐欺行為を行なった疑いがあるとの通報を受けて捜査に着手したという。結果、主犯格のピットボスの女(43)がカジノテーブルにあるパソコンを使ってベット記録を改ざんカジノディーラーの女(43)とその夫で内装工の男(46)、別ののカジノディーラーの女(43)の3人の会員カードにポイントを加算3人はポイントを使って無料ホテル宿泊と交換し、1泊1部屋につき約1000マカオパタカ(日本円換算:約1万3420円)で転売して現金化し、利益を得ていたことが明らかになったとした。ホテル側の被害額については約3万8000マカオパタカ(約51万円)という。

マカオ新聞記事より引用)

 

◆キタきつねの所感

ホテルの被害額は、少なくても事件として挙げられている分に関しては約51万円とたいした事はありません。しかし、ホテル側は脇が甘かったと思います。

この手の不正をカジノのケースで聞いたのは初めてですが、内部不正で不正にポイント付与して景品(特典)と取り換える事件と考えると・・・些細な例だと、バイト先の店員が友達の為に特典カードのハンコを多めに押してあげるのは、昔からよくあった事ですし、今はまったく聞かなくなりましたが、パチンコ屋さんの景品関係での不正は以前に何度かニュースを見た気がします。

事件のレベルは違うかも知れませんが、バイト不正対策で監視カメラが導入されたり、ポイント付与について例えば付与者のハンコが必要だったり・・と、この手の対面式のお店でよくありがちな不正については様々な防衛策がとられてきたのも事実です。

 

今回の事件の背景について、日本ではまだカジノが許可されてませんので、あまりピンとこないかも知れませんが、カジノでお金を使う(ベット)分の一部が、会員カード(航空会社のマイレージカードの様なもの)に還元され、特典と交換できる仕組みを多くのカジノホテル(チェーン)が導入しています。

マカオのカジノ施設の多くは、航空会社のマイレージ制度と似たメンバーシッププログラムを提供している。入会することで、テーブルゲームやスロット機での掛け金額等に応じてポイントが貯まり、貯まったポイントをホテルの無料宿泊やフェリーチケット、家電製品などと交換することができる。また、掛け金が多い顧客はより高いレベルの会員へと移行し、特典が得られるという仕組み。

マカオ新聞記事より引用)

 

今回の事件の場合、まずポイントを付与(加算)する立場の内部従業員(主犯格の女)が裏切った(内部犯行した)訳ですが、個人でのポイント付与は記録されていた(ログに取られていた)と思いますが、あまり大きなポイント付与でなければ、不特定多数の客が来るカジノという特性から、あまり監視はされてなかったでしょうし、検知する閾値に達してなかったのだと推測します。

 

しかし、出し子(不正に付与されたポイントを交換する人)の部分で、カジノ側が検知できた可能性がある気がします。例えば以下の3点です。

 

①主犯格の女の、3人(共犯者A、共犯者Aの夫、共犯者B)のカードに対してポイント付与が明らかに多い

②共犯者Aと共犯者Bはホテル従業員であり、会員カードの登録や無料宿泊チェックイン時の身分証明などで紐づけが出来た可能性が高い

③3人の会員カードには、主犯格の女からしか大量のポイント付与が無い事が不自然

 

①は一定の期間内に、明らかに特定の顧客に対するポイント付与が大きい場合に不正検知できる仕組みを入れておけたと思います。

②は内部犯行チェックの1つではありますが、会員登録や、チェックインの住所確認で身分証提出を求めるホテルであれば、内部従業員の登録住所と照合が出来ると思います。

③は推測になりますが、主犯格の女がお休みの時、あるいはテーブルでポイント付与してない時間には、共犯者3人のポイントはほとんど変動してないと思います。こうしたケースでは不正のパターンが顕著ですので、ツール検知が出来るかと思います。

 

カジノ顧客の不正や、現金の動きには厳しいセキュリティを持つカジノですが、ポイントという資産に対しての監視が甘い所があったというのは、ポイント(特典)を資産と考えてアセスメントをしてないからだと思います(どこか7Payの事件と似ている気もします)。

 

今回のホテルだけでなく、顧客向けのポイントサービスは聖域として放置しておくのではなく、セキュリティホールが無いか定期的にチェックする事も忘れてはいけないポイントです。

 

 

 

※11/6(水)に日本プライバシー認証機構(JPAC)様からセミナーのお話を頂きました。国内のカード情報漏洩のみならず、海外のあまり知られてないカード情報漏洩事件などを解説したいと思ってます。良かったら下記開催案内もご覧いただけたら幸いです。

www.jpac-privacy.jp

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

f:id:foxcafelate:20191019071929p:plain


 

更新履歴

  • 2019年10月19日AM(予約投稿)

 

Happy 21th Birthday for ScanNetSecurity

普段から記事を拝見しているScan Net Securityさんが21周年であるとの記事が出ておりました。遅ればせながらお祝い申し上げたいと思います。

scan.netsecurity.ne.jp

 

◆キタきつねの所感

Fox on Securityは11月5日で2周年(2歳)を迎えますが、21年ですか。。。米国で言えば”成人”を迎えたという事であり、より一層すばらしい記事を発信し続けて頂ければと思います。

 

私も、たかだか2年ではありますが、記事(もどき)を書くのに四苦八苦していますが、先を行く諸先輩方に負けない・・というか勝てないまでも、意識頂ける存在山椒の様な存在ですかね?)になれればなぁ。。と思います。

 

最後に、上野編集長の、この言葉にグッとくるものがありました。

サイバーセキュリティはビッグイベントや突発的事象の対応だけではなく日頃の積み重ねが重要だと感じております。そんな日々の積み重ねをしておられる皆さまにとって、ScanNetSecurity がお役に立てる媒体でありたいと願っております。

(ScanNetSecurity記事より引用)

 

なんでもない普通の言葉とも読めるのですが、上野さんや、ScanNetSecurity関係者の皆さんが積み重ねてきた歴史の重みを感じました。

 

改めて、21周年おめでとうございます

 

キタきつね拝

 

 

 

※11/6(水)に日本プライバシー認証機構(JPAC)様からセミナーのお話を頂きました。国内のカード情報漏洩のみならず、海外のあまり知られてないカード情報漏洩事件などを解説したいと思ってます。良かったら下記開催案内もご覧いただけたら幸いです。

www.jpac-privacy.jp

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

成人式のイラスト「祝成人」

 


 

更新履歴

  • 2019年10月12日PM(予約投稿)

実はCISOはあまり居なかった

世界を代表する大手企業群、フォーチュン500の公開情報を分析したところ、実はCISOを置いている企業は全体の38%だったというBitglass社の衝撃的な調査結果が発表されていました。

www.helpnetsecurity.com

 

■Bitglass社の発表 38% of the Fortune 500 do not have a CISO

 

Fortune 500の77%が、セキュリティ戦略の責任者についてウェブサイトに記載していません

・52%のWebサイトには、法的に必要なプライバシー通知を超えて、顧客およびパートナーのデータを保護する方法についての言語がありません。

2019年のFortune 500の38%には最高情報セキュリティ責任者(CISO)がいません。
・この38%のうち、セキュリティの副社長など、サイバーセキュリティ戦略の責任者としてリストされている別のエグゼクティブがいるのは16%だけです。
・CISOを持っている62%のうち、4%だけが会社のリーダーシップページにリストされています

(Helpnetsecurity記事より引用)※機械翻訳

 

◆キタきつねの所感

日本でも「CISO不在」「なんちゃってCISO」が問題になって久しいのですが、米国などのフォーチュン500企業でも60%以上がCISO不在である事は、驚きでした。

恐らく、内部にCISOは立てているのでしょうが、役員会に出る様な権限を持ってない(※本来は役員級です)から、会社のホームページに掲載してないのだろうとは思いますが、それにしても情報セキュリティの専門的知見を持つ企業幹部(かつ取締役会にて経営層に直接説明ができる人)が不在でる会社が多いのだとすれば、サイバー攻撃に対する防御や、予算が無いが故の被害拡大リスクが懸念されます。

 

今回の記事では業界別のデータも公開されています。

セキュリティ重視の姿勢が調査データから見える業界としては、

運輸業界は最もセキュリティを重視する業界であり、57%の企業がサイバーセキュリティ戦略の責任者としてエグゼクティブを挙げています。

航空宇宙産業(33%)と保険産業(30%)は、それぞれ2番目と3番目になっています。

・航空宇宙に続いて金融(72%)と技術(66%)があります。

(Helpnetsecurity記事より引用)※機械翻訳

が挙げられています。この辺りは過去からサイバー攻撃を受け続けてきた業界と言えるので妥当なところかと思います。

 

一方で、気になるセキュリティが軽視されている・・・と見える業界としては、

ホスピタリティ企業には、サイバーセキュリティ戦略を担当するエグゼクティブはいません。製造業電気通信業界はそれぞれ8%と9%でそれに続いています。
建設、石油、ガス、ホスピタリティ業界のそれぞれにおいて、顧客およびパートナーデータを保護する方法に関する情報をWebサイトに持っている組織はわずか25%です。

(Helpnetsecurity記事より引用)※機械翻訳

 

ホスピタリティ企業とは、ホテルや旅行系の会社がこれに当たります。米国の場合だと世界に名が知れた巨大ホテルチェーンも多い訳ですが、Westinホテル等、大きな被害を出した事件も出ていますので、何となく理解ができます。また製造業電気通信業界、、製造業は分かるのですが、電気通信業界(インフラ系)の比率が低いのは気になる所です。

 

こうした業界は、サプライチェーン攻撃など自社が想定している攻撃ルート以外を攻められると(体制の問題や、防御の穴を潰しきれてないので)大きな被害につながる企業が多いかも知れません。

 

日本でも、業界別の取り組みは同じ傾向がある可能性は高いかと思いますが、ハッカー側からすると狙いやすい企業として対象となりやすくなる、今回の調査データは、ハッカー側にとっても攻撃対象を絞りやすくなるデータになってしまっていると言えるかも知れません。

 

 

※11/6(水)に日本プライバシー認証機構(JPAC)様からセミナーのお話を頂きました。国内のカード情報漏洩のみならず、海外のあまり知られてないカード情報漏洩事件などを解説したいと思ってます。良かったら下記開催案内もご覧いただけたら幸いです。

www.jpac-privacy.jp

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

f:id:foxcafelate:20191005202953p:plain


 

更新履歴

  • 2019年10月5日PM(予約投稿)

セキュリティ対策は当然の責務

6月末にカード決済を突然停止して、ネットで騒ぎになったECオーダー.comがカード情報漏洩を発表していました。

www2.uccard.co.jp

 

公式発表 ECオーダー.com不正アクセス発生についてのご報告とお詫び

 

 1、流出の可能性のある期間
2019年1月19日から2019年6月26日
上記期間内に、弊社ECオーダー.comにてクレジット決済をご利用頂いたお客様が対象でございます。
※なお、上記に該当されるお客様には、弊社より、別途メールもお送りいたしております。

2、流出の可能性のあるデータ
流出の可能性のあるクレジットカード情報データは最大で7,467件
流出した可能性のある情報については以下の通りでございます。
①カード番号
②有効期限
③カード名義人名
セキュリティコード

3、原因
弊社ECオーダー.comではクレジットカード情報を保持しない仕様として構築しておりましたが不正アクセスによりアプリケーションファイルを改ざんされた為、2019年1月19日から同年6月26日にかけて通信販売ご注文時に入力頂いたクレジットカード情報が、不正に取得された可能性があることが判明致しました。

(公式発表から引用)

 

◆キタきつねの所感

ECオーダー.comは、不正侵害を受けた後にサイトを閉鎖しているので、魚拓サイトから分かる範囲だと、通販業務全般をサポートしていて、その一環としてカートシステム(※今回の直接の漏洩対象)等を含んだサイト制作機能を提供していた様です。つまり、自社で持つEC構築パッケージを他社にサービス提供していた事になり、サービスプロバイダーであったと思われます。

 

f:id:foxcafelate:20191012114844p:plain

 

そのユーザを見ると、自社でも「HoBiGIRLS STORE」のコアなファン層向けのサイトを運営していた(※現在は閉鎖中)事もあるのかと思いますが、

 

f:id:foxcafelate:20191012115453p:plain

 

アダルトゲーム等を取り扱っている企業のECサイトが利用者として多かった様です。6つ程、サイト制作実績が魚拓サイトに出ていたので、少し調べてみると、

 ・キャラメルBOX  https://www.ec-order.com/caramel-box/shop/ ※ECオーダー.comユーザ

  公式発表無し。Twitter公式アカウントでホビボックスのリリースへ誘導(10/9)

f:id:foxcafelate:20191012121823p:plain

 

 

実績ページの魚拓は今年3月1日のものだったのですが、、、どうやらあまり更新をしない事業者だった様です。

f:id:foxcafelate:20191012120018p:plain

 

 ・marron (閉鎖と思われる) Marron - Wikipedia

 ・Fizz (閉鎖と思われる) Fizz - Wikipedia 

 ・うぃんどみる 通信販売サイト=NEXTON Onlineだったで、サービス変更をしたものと思われる

 ・Lump of sugar  通信販売サイト=FANZAだったので、サービス変更をしたものと思われる

 ・SkyFish https://www.ec-order.com/sky-fish/shop/ ※ECオーダー.comユーザ

  ※公式発表無し。

 

 

影響ユーザについて、

ECオーダー.comは7月の時点で、カード決済の突然の停止(閉鎖)がネットで話題となり、いくつかのメディアが報じていたのですが、この際に名前が挙がっていたのが、

まどそふと、エウクレイアオーガストアリスソフトなど、同サービスに通販を委託している複数のゲームメーカーから7月19日、相次いで告知がありました。

ねとらぼ記事より引用)

 

エウクレイアは、、かなりホビボックス社の対応について怒っているリリースを出しています。7月19日のリリース内容も併せて掲載されているのですが、ネットで突然漏洩の疑いを知り、問い合わせても調査中としか回答がこなかった、そして長期間に渡ってサービスを停止している事から、ECオーダーからの移転を示唆しています。

f:id:foxcafelate:20191012123238p:plain

f:id:foxcafelate:20191012123623p:plain

 

オーガストも、既に通販委託先を変更している(怒っている)様です。

f:id:foxcafelate:20191012123754p:plain

 

アリスソフト も、「この件を受けまして、これ以上ECオーダー.comにて公式通販の運営を続けることは困難、との判断に至りました」と書かれたリリースを出しており、かなり対応について怒っている様です。

f:id:foxcafelate:20191012124315p:plain

 

カードの漏洩件数は最大で7,467件と、劇的に大きな事件ではありません。しかしアダルトゲームというコアなマーケットの(機微な)個人情報が漏洩した事と、そしてそうしたコアな顧客を相手に商売をしているメーカーからの信頼を失った事から、ホビボックス社のビジネス(通販全般の受託)の根幹が崩れたといっても過言ではないかと思います。

 

今回不正アクセスの詳細原因は、公式発表にはほとんど書かれていませんし、

3、原因
弊社ECオーダー.comではクレジットカード情報を保持しない仕様として構築しておりましたが、不正アクセスによりアプリケーションファイルを改ざんされた為、2019年1月19日から同年6月26日にかけて通信販売ご注文時に入力頂いたクレジットカード情報が、不正に取得された可能性があることが判明致しました。

(公式発表より引用)

今年大きな被害を出しているEC-CUBEフレームという訳でも無い様ですので、Webページが改ざんされた脆弱点は分かりませんが、Web改ざん検知をしていれば、被害はかなり軽減できたものと思います。

 

今回の事件に関して言えば、ECオーダー.com側が大家で店子さんのアダルトゲームベンダーに店を貸していた様な構図となります。

カード決済部分のURLは、事件の公式リリースがホビボックスから出された現在はでも、全て「メンテナンス」のお知らせに飛ばされ、もう1クリックしないと事件の詳細発表には飛びませんが、、、

 

http://maint.ec-order.com/maintenance.html 

f:id:foxcafelate:20191012160449p:plain

 

転送前のURL構造は、

 

 https://www.ec-order.com/caramel-box/shop/

 https://www.ec-order.com/sky-fish/shop/

 

となっており、ec-order.comの管理下で運用がされていた事が分かります。リリースを見る限り、ユーザ側がECオーダー(ホビボックス)の対応を問題視し、運営委託先会社を変更する動きが強いのは、いくつかの要因が考えられますが、

 

突然のカード決済停止のみならず、ホビボックス社のホームページを運用も停止(サイト閉鎖)して、その事について、ユーザ(店子)側に詳細連絡が無い(遅い)

長期間に渡ってカード決済サービスを停止している

EC-CUBE含めて、類似の攻撃(決済ページの改ざん)が去年から多数発生しているのに、受託企業(サービスプロバイダー)として適切な対策をしてなかった

 

という観点が強いのかと思います。

 

①は店子であるアダルトゲーム会社も、自社の顧客に対して説明をしなければいけない立場にも関わらず、対応が悪かったという事、あるいは先にネットで情報が出回ってしまって後手で対応に追われた事に対する不満があった可能性が高い事です。

②はフォレンジック調査をしていると時間がかかるのはある程度仕方がない事だと思いますが、店子も自社のビジネスに影響する訳ですから、早くカード決済が戻らないのであれば、他社のサービスに切り替えたくなるビジネス上の動機が強くなります。

③は(ネット系の)サービスプロバイダーとしての責任範囲には、セキュリティ対策も当然含まれるべきであって、APT攻撃という訳でもなさそく(そうした内容が公式発表に含まれていない)、ホビボックス社が一般的なセキュリティ対策を怠っていた可能性が高い事に、店子側の不満が出てきていると思います。

 

ある程度のセキュリティ対策は当然した上で、ECオーダー.comは受託サービス(サービスプロバイダーとしてのサービス提供)をしていたのかと信じたいところですが、「カード情報非保持」サービスを実装した後は、自社サイトの改ざん防止や、定期的な脆弱性診断(ASVスキャン)という部分についての対策が甘すぎたと責められても仕方が無いかと思います。

そうした認識が無いのであれば、本来は他社にはサービス提供してはいけなかった、厳しい言い方ですがそんな風に思います。

 

参考:7月記事

foxsecurity.hatenablog.com

 

 ※11/6(水)に日本プライバシー認証機構(JPAC)様からセミナーのお話を頂きました。国内のカード情報漏洩のみならず、海外のあまり知られてないカード情報漏洩事件などを解説したいと思ってます。良かったら下記開催案内もご覧いただけたら幸いです。

www.jpac-privacy.jp

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

落とし穴に落ちる人のイラスト

 


 

更新履歴

  • 2019年10月12日PM(予約投稿)

JIMOSのカード情報漏えいの続報(EC-CUBE)

朝起きると、、カード情報漏えいのニュースが出ていて慌てて記事を書いてますが、、、JIMOSという名前に既視感が・・と思ったら、8月下旬に漏洩の可能性があるとして記事を書いていた件の続報(詳細報)が出たという事の様です。

tech.nikkeibp.co.jp

 

 

公式発表 不正アクセスによるお客様情報流出に関するお詫びとご報告|JIMOS ジモス

 

 化粧品や健康商品の通販を手がけるJIMOS(ジモス、福岡市)は2019年10月15日、不正アクセスを受けて10万7661件のクレジットカード情報が流出した可能性があると発表した。カード会員名とクレジットカード番号、有効期限に加え、セキュリティーコードも流出した可能性がある。

 同社が運営する通販サイト「マキアレイベル」「Coyori」「代謝生活CLUB」で2014年1月1日から2019年7月26日までにカード情報を入力した顧客の情報が流出した可能性がある。さらに同社が以前運営していた通販サイト「酒蔵.com」で2014年1月1日から2016年3月30日までにカード情報を入力した顧客も同様に流出した可能性があるという。

 JIMOSの親会社ナックの広報担当者は「サーバーの脆弱性を突かれて第三者不正アクセスされたのが原因」と話す。「期間中に入力されたクレジットカード情報は全て流出した可能性がある」という。

(日経XTECH記事より引用)

 

 

◆キタきつねの所感

既に、前回のカード情報漏えいの疑いがあるという発表の際に、EC-CUBEの痕跡は見つけているので、

foxsecurity.hatenablog.com

 

 

今回の発表との差分を見ると、、、まずは件数が、4サイト分という事もあるかと思いますが、10.7万件と最近のかーど情報漏えい事件の中では多い事が挙げられます。また、フォレンジックの詳細(追加)調査の結果という事になるのかと思いますが、前回のJIMOSの発表では、3サイト(マキヤレイベル、Coyori、代謝生活CLUB)が対象だったのが、1サイト(酒蔵.com)が増えてました。

 

プレミア焼酎・日本ワイン│こだわりのお酒専門通販【酒蔵.com(酒蔵ドットコム)】

 

既にサイトが閉鎖されている様なので、魚拓サイトから2016年3月のサイトを調べてみましたが、、、この頃には、ソースコードに、

f:id:foxcafelate:20191016213025p:plain

EC-CUBEの痕跡があります。この頃はどうやら2.1.13だった様です。

f:id:foxcafelate:20191016213125p:plain


2016年4月~現在のサイトは、ソースコードを見ても明らかに構造が違いますし、EC-CUBE痕跡は見つかりませんでしたので、EC-CUBEから移転したのではないかと思います。

現在のサイトの保有者表記は、「Copyright(c) 株式会社ナック All Rights Reserved」、2016年3月「Copyright © JIMOS.CO.LTD. All rights reserved.」となっていましたので、事業譲渡等でサイトオーナーが変わった際に、サイトも再構築(EC-CUBEから移転)したと思われます。

同社が以前運営していた通販サイト「酒蔵.com」で2014年1月1日から2016年3月30日までにカード情報を入力した顧客も同様に流出した可能性があるという。

(公式発表より引用)

 

公式発表の漏洩期間と、魚拓サイトの証跡が一致してきました。その事から考えられるのは、

 

①2016年3月以前からEC-CUBEで構築したサイトが侵害を受けていた

②2016年3月末で停止した旧サイトのデータが残っていたところを、他のサイトと同じ時期(~2019年7月)に攻撃を受けた

 

辺りでしょうか。他の3サイトが攻撃を受けていた事を考えると、昔から侵害されていた(①)というよりかは、サイトオーナーが変わってからも旧サイトが放置(ログイン可能)となっていた(②)可能性の方が高い気がします。

 

この推測が正しければ、サイト閉鎖時に顧客データを消さなかったJIMOSに責があると思います。JIMOSは顧客データを消してから、あるいはホームページ構成物を全部削除してから撤退すべきだったのではないでしょうか。

 

 

※11/6(水)に日本プライバシー認証機構(JPAC)様からセミナーのお話を頂きました。国内のカード情報漏洩のみならず、海外のあまり知られてないカード情報漏洩事件などを解説したいと思ってます。良かったら下記開催案内もご覧いただけたら幸いです。

www.jpac-privacy.jp

 

 

  

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

f:id:foxcafelate:20191016061451p:plain


 

更新履歴

  • 2019年10月16日AM(予約投稿)