Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

顔パス改札をもう破った人がいる

自動改札は阪急電鉄が初めて導入した様に、新たな技術導入は西日本の方が意欲的なのかも知れません。顔認証改札の実証実験がどんな結果になるのでしょうか。

www.fnn.jp

 

大阪府内を走る「大阪メトロ(「大阪市高速電気軌道株式会社)」が、改札を「顔認証改札」に変えるべく、12月10日から大阪メトロの社員を対象に実証実験を開始したのだ。

この「顔認証改札」のシステムは、利用者が改札を通過する際に備え付けのカメラで顔を撮影し、顔の特徴点のデータを本社のサーバーに送信。事前に登録された顔写真と照合し、承認されれば改札機の扉を開ける未来型の改札で、全国の鉄道会社でも初の導入とのこと。

(FNNPrime記事より引用)

 

◆キタきつねの所感

12月9日に報道陣に公開された大阪メトロの実証実験の顔パス改札ですが、実証実験開始早々でもう破られていました流石関西のニュース番組、やる事がえげつないです

www.mbs.jp

 

 

f:id:foxcafelate:20191214080432p:plain

MBS Newsミント記事より引用) 

 

顔認証システムへの攻撃という意味では基本中の基本とも言える攻撃が、静止画での本人偽装なのですが、実証実験とは言え、対策してないとは思いませんでした

この攻撃が成功するという事は、例えば1枚の通学定期をクラス全員で使い回しできるという問題を将来抱える可能性がある事を示唆しています。(大阪メトロとしても、静止画偽装に気づきやすい駅員の有人監視ではなく、極力無人化したい意向でこうしたゲートを導入するのだと思いますので、実証はともかく、本格導入には対策が必要な気がします)

 

実証実験で、おそらく重点的に確認されるのが、「花粉対策」ではないでしょうか。顔認証はサングラスやマスクをかけると極端に認証率が落ちます。インフルエンザの流行で最近は電車の中でもマスク姿の方を多くみかける様になりました。更にこれから春先に向けてはスギ花粉が飛散しますので、この時期に開始した実証実験という事で、この辺りをどう対策(ユーザ告知)していくのかが、本格導入に向けての鍵になるかと思います。

 

現時点での課題は、、もう1つありそうです。大阪メトロの職員の方の実証映像を見る限り、、、

www.youtube.com

 

改札前で顔認証の為に1秒以上止まっていますラッシュ時の改札通過人数が非常に多い、大都市圏の自動改札で1秒は致命的な気がします。乗客の方のクレームが出そうな点、この辺りも今後改善されるのかと思いますが、実証実験の結果が気になる所です。

 

大阪メトロは、大阪万博に向けて実証を通じて2024年までに全駅への設置を目指すという事ですが、海外からの旅行客の一部の方はサングラスをかけている事などを考えると、顔認証だけの改札になっていくにはまだまだ時間がかかると思います。

 

日本初の顔パス改札であったのは、こうした課題が既に判明していたからだったのではないでしょうか。

 

因みに中国では顔パス改札が既に導入されていますが、元々中国の鉄道では乗車前に本人確認が行われる事があってとても時間がかかっていた所に、顔認証システムが導入されたという経緯が、日本とは少し違うかと思います。

ftsafe.co.jp

 

(中国での従来の改札通行方法は、セキュリティや乗車チェックの観点から日本とは大きく異なります。 切符を購入すると、切符に氏名が書かれているものが発行されます。そして、「切符の名前」と「身分証明書」と「本人」が一致しなければ、改札を通過することができません。 当然、一人のチェックに時間を要すため、改札口は大変混み合ってしまいます。そのため、改札でチェックするための多くの人員が必要となります。)

北京西駅の旅客輸送部門の責任者は、記者の取材に対して、「北京西駅では11月末からセルフ改札口が開設され、今まで順調に稼働しています。
毎日セルフ改札口を利用する人数はおよそ1.4万から1.8万人ぐらいです。改札口を通るスピードが速く、大体5秒で駅内に入れます。」とコメントしておりました。

(飛天ジャパン記事より引用)

 

飛天ジャパンのブログ記事にもありますが、1人5秒で改札を通過できたとしても、従来よりも高速で便利と思われる環境であったら、普及が進んでいるのであって、日本の大都市圏の様に多くの方が改札をラッシュ時に通過する事を前提としている訳ではないのです。

 

こうした違いを考えると、大阪メトロの実証実験は色々な気づき(問題点)が出てくるのかと思います。その結果、あるいは検出された問題点への対策について注目したいと思います。

 

 

 

本日もご来訪ありがとうございました。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

  

交通系ICカードの自動改札のイラスト「開かない」

 

更新履歴

  • 2019年12月14日AM(予約投稿)

米国カリフォルニア州のプライバシー法

米国も個人情報管理強化に向かっていく様です。来年1月からのプライバシー保護法はアメリカに進出している日本企業にも大きな影響を与えるかも知れません。

www3.nhk.or.jp

 

アメリカのカリフォルニア州では、企業に厳格なプライバシーの保護を義務づける州の法律が来年1月に施行されます。住民から請求されれば個人情報の削除などに応じることが義務づけられ、日本企業も対応を迫られています。

来年1月に施行されるこの法律は「カリフォルニア州消費者プライバシー法」と呼ばれ、カリフォルニア州に拠点があるかどうかにかかわらず、カリフォルニア州で事業を行っていて年間の総収入が日本円でおよそ27億円を超えたり、州の住民5万人以上の個人情報を処理したりする企業が対象になります。

住民から請求された場合、保有する個人情報の内容の確認や削除に応じたり、第三者への販売の禁止に応じたりすることが義務づけられ、対応できないと州政府から1件の違反につき最大で7500ドル、日本円にして80万円余りの罰金を科されることになっています。

NHKニュース記事より引用)

 

◆キタきつねの所感

GDPRまでとは行きませんが、米国でもプライバシー保護は強化される方向にあります。特に企業の持つ個人情報は厳格な管理が要求され、今回のカリフォルニア州の罰金では、1件当たり80万円が課される可能性があり、この他に個人からの集団訴訟などを抱える可能性がある事を考えると、訴訟リスクを考えなければいけない日本企業も結構あるのかも知れません。

 

日本でも個人情報保護法の改正の動きがありますが、罰金部分は今回の法改正から見送られそうです。

www.sankeibiz.jp

 

GDPRや米国は・・そんな日本の法律よりも厳しい方向で既にスタートしていく訳ですから、日本企業ももう少し、個人情報保護の分野に積極的にリソースを投入して、今後より厳しくなっていく個人情報保護対策に着手すべきかと思います。(経営陣にそうした認識が無いのが日本の場合も後々問題になる気がします)

 

 

 

本日もご来訪ありがとうございました。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

アメリカの大統領選挙のイラスト


 

 

更新履歴

  • 2019年12月8日PM(予約投稿)

役員は代表電話にはかけてこない

楽天もグループ会社が増えすぎて教育が追い付いてないのかも知れません。

www.nishinippon.co.jp

 

 楽天グループの複数の従業員が、グループ会社役員を名乗る人物から電話で虚偽の指示を受け、従業員の情報を管理する社内システムに登録された氏名や役職、メールアドレス、内線番号などの複数の個人情報を社外に流出させていたことが、あなたの特命取材班への情報提供で分かった。再発防止に向け、楽天は社内システムの仕様や運用の見直しを進めているという。

 関係者によると、グループ会社の代表電話番号に役員を名乗る人物から英語で電話があり「出張先でパソコンの調子が悪く社内ネットワークに接続できないため、指定する従業員のメールアドレスを教えてほしい」と連絡があった

 役員を名乗る人物は、社内システムから従業員の個人情報を抽出する方法を指示。説明内容が具体的だったため、電話を受けた従業員は役員本人だと思い込んでしまった。抽出した情報はファイルにまとめ、偽役員が指定した社外のメールアドレスに送信。同じような連絡が複数回あった。応対した従業員が別部門に相談したことで、虚偽の指示と判明したという。

西日本新聞事より引用)

 

◆キタきつねの所感

西日本新聞のスクープ記事だった様です。楽天のニュースリリースにはこの内容の記載はありませんでした。グループ会社が多数ある楽天ですので、どこが狙われたのか分かりませんが、電話で偽の指示・・・もう少しでビジネス(ボイス)メール詐欺が成立しそうな雰囲気すら感じます。

犯人は内部事情に詳しい(元従業員でしょうか?)ので、電話での虚偽指示に引っかかった従業員はかわいそうな気もします。どちらかと言えば、楽天(グループ)の従業員教育に問題があった可能性が高いと思います。

 

攻撃を受けた後にアレコレ言うのはどうかとは思いますが、セキュリティ教育の教材になりそうな事件かも知れません。例えば英語での電話が代表電話にかかってくる。役員を名乗るのであれば、、すぐにおかしなところに気づくはずです。

 

何で役員は自分の部署に社用携帯で電話しないのでしょうか?

 

社内システムが調子が悪くても社用携帯は通じるはずです。普通自分の部署、部下に電話して調べてもらいませんでしょうか? 代表電話にかけてくる役員・・・聞いた事がありません。

 

次の疑問点ですが、

 

何で社外のメールアドレスにファイル送信させるのはコンプライアンス違反ではないでしょうか?

 

役員も社内ルールに従うのが当然です。ルールを曲げてまで個人情報を、しかもファイルで送信させる事に疑問を持つ様に、代表電話を受ける担当者を教育すべきではないでしょうか。(役員が常にコンプライアンスを無視した指示をかける企業文化だった場合はこの限りではありませんが・・・)

 

ついでに言えば、、怪しげな電話を受けた場合、多くの会社のマニュアルでは、コールバックする事が多いかと思います。代表電話にかかってきたフィッシング電話は、(想像になりますが)番号通知発信されてない状態だったかと思います。一度電話を切ってかけなおせば、発信(代表電話)側、に発信履歴が残るはずであり、相手の特定材料となるかと思います。

また、時間があれば、かけなおす番号をググってみると、何か異常に気付くかも知れません。

 

他にもまだありそうですが、最後の可能性に気づいて・・・楽天だったらあり得るかもと思った事があります。

 

実はレッドチームに三木谷会長が疑似攻撃を指示していた... 

 

こんなオチであれば、さすが楽天と思うのですが。。。

(海外では実際にそうした攻撃をしてもらう為にホワイトハッカーを雇う場合があるそうです)

 

 

本日もご来訪ありがとうございました。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

  ホワイトハッカーのイラスト


 

 

更新履歴

  • 2019年12月8日PM(予約投稿)

Windows7で生き延びられるか

師走に入り、OS更新も急ピッチで進む・・・事はなさそうです。1月14日のWindows7サポート切れまであと1カ月ですが、、Windows7ユーザは4台に1台程度の割合でその日を迎えそうです。

news.mynavi.jp

 

Net Applicationsから2019年11月のデスクトップOSのシェアが発表された。2019年11月はWindowsがシェアを減らし、Mac OSLinuxがシェアを増やした。

Windowsをバージョン別に見ると、Windows XPがシェアを増やし、Windows 10、Windows 7Windows 8.1Windows 8はシェアを減らしている。Mac OSではより新しいバージョンへの移行が緩やかに進んだ。

Windows 7は2020年1月14日にサポートの終了が計画されている。しかし、2019年11月末の時点でWindows 7のシェアは26.86%となっており、Windows 10に次ぐシェアを確保している。このまま推移した場合、Windows 7はサポートが終了したあとも相当数が使われることになると見られる。

(Mynaviニュース記事より引用)

 

◆キタきつねの所感

元ソースのNet Applicationsのグラフはこんな感じですね。Windows10のシェアが53%を超えて順調に伸びてはいるものの、Windows7が26.8%となっており、来年1月のサポート切れを前に、劇的に移行が進むとは考えられないので、1/4程度のOSがそのままWindows7スタンドアロン端末は移行計画すらなく生き延びていく可能性が高いのだと思います。

f:id:foxcafelate:20191208171145p:plain


有償の延長サポートもある訳ですが、年額サポート料から考えると一部の法人ユーザを除いて、そう多くのユーザが乗り移るとは思えません。(3年先を考えるならば、個人は今Windows10を購入した方が安くつく訳ですし・・・)

マイクロソフトが影響を考慮して、ギリギリになってサポート延長する、、という事も考えられなくはありませんが、ここまでくると多分やらないだろうと個人的には思います。

 

こうしたメジャーOSのサポートを切れるのを待ち構えているのはハッカー側であると良く言われます。

仮に0ディの脆弱性をこの時点で持っている場合、すぐに脆弱性を使った攻撃を仕掛けずに、ポートが薄くなり、対応が遅れるであろうサポート切れを待ってから脆弱性を突いた攻撃をしかけた方が、得られる果実が大きくなる可能性があるからです。

 

来年はオリンピックイヤーであり、日本への攻撃が特に増える事が予想されています。そんな中、大した問題もなくWindows7が使えてしまうのか、それともWindows7脆弱性を突いた攻撃が大きな問題を引き起こすのかは、今の時点で分かりませんが、それなりのリスクを負う事もあると、Windows7ユーザは覚悟して利用を継続すべきかと思います。

 

 

本日もご来訪ありがとうございました。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

  締め切りのキャラクター
 

 

更新履歴

  • 2019年12月8日PM(予約投稿)

モーターマガジン社もEC-CUBE

先週は本業の方が忙しくて調査が出来ませんでしたが、もう1件カード情報漏えいが発表されていましたので、こちらの方もみて見ましたが、こちらは・・・EC-CUBEの様です。

www.security-next.com

 

■公式発表 モーターマガジン社より重要なお知らせ

 

モーターマガジン社は、同社ウェブサイトが不正アクセスを受けて顧客のクレジットカード情報が流出した可能性があることを明らかにした。

同社によれば、2018年8月21日から2019年6月27日におかけて、同サイトで商品を購入した顧客のクレジットカード情報が外部へ流出し、一部が不正利用された可能性があることが判明したもの。

流出の可能性があるのは、顧客のクレジットカード情報211件。カード名義やカード番号、有効期限、セキュリティコードなどが含まれる。システムの脆弱性を突かれたことによる不正アクセスが原因だという。

(Security Next記事より引用)

 

 

◆キタきつねの所感

現在のコーポレートページ(https://www.motormagazine.co.jp/)は、カード情報を漏えいした構成とは変わっているので、魚拓サイトから調べてみると、ネット通販のボタンがあったので、こちらのリンクを辿ってみると・・・

f:id:foxcafelate:20191208162756p:plain

 

別サイトに到達します。サイト名が「モーターマガジン Web Shop(MM Style)」となっていて、公式発表にあった「モーターマガジン社コーポレートサイト」とは違う様です。

f:id:foxcafelate:20191208162923p:plain

 

サイトは停止されてませんでしたし、、会員登録画面を進むと・・GMOの「Makeshop」サイトに行きましたので、どうやらこちらが被害を受けたサイトでは無さそうです。魚拓サイトを見ても・・・特に変わらなかったので、「外れ」の様です。

f:id:foxcafelate:20191208163020p:plain

 

トップページ(魚拓)に戻って探してみると・・・ありました。「MYページ」のリンクが怪しそうです。

f:id:foxcafelate:20191208163134p:plain

 

こちらも会員登録画面があったので、リンクを辿ると・・・馴染み深い「.../shop/entry/」を発見し、その他の証跡もEC-CUBEの癖と合致しました。

f:id:foxcafelate:20191208163301p:plain

 

ここまでくると、ソースにこの表示を発見するのは簡単でした。またEC-CUBEで合っている様です。(2系ですね)

f:id:foxcafelate:20191208162847p:plain


侵害を受けた事が発覚したのが6月27日、モーターマガジン社は、EC-CUBEサイトが襲われている」事に対する感度が鈍かった事が侵害を受けた(影響範囲が拡大した)原因の1つと言っても差し支えないのではないでしょうか。

 

違う見方をすれば、通販サイト側はMakeShopを採用していて、コーポレートサイトがEC-CUBEを採用している、、、どちらか片側(普通であれば有償スキームのMakeShop)に合わせきれてなかった事も影響した可能性が高いかと思います。

ECサイトは一度作ったら終わりではなく、デザイン以外の要素、つまりセキュリティ状況(インシデントが多発している、あるいは大きな脆弱性が報告された)といった要素でも、リニューアル(セキュリティ強化)や他スキームへの移行を考えるべきなのだと思います。

 

 

本日もご来訪ありがとうございました。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

  オフロードバイクのイラスト



 

 

更新履歴

  • 2019年12月8日PM(予約投稿)

求人サイトへの攻撃

この記事を見て、求人サイトも(今後)攻撃対象となり得るな・・と感じました。ハッカーがロシアの求人サイトから50万件の個人情報を窃取した様です。

www.ehackingnews.com

 

ハッカーフォーラムは、ポータルjobinmoscow.ruのユーザーのデータベースを取得しました。Device Lockの創設者でテクニカルディレクターのAshot Hovhannisyanによると、データベースには、公開されている情報に加えて、500,000ユーザーのログインとパスワードがあります。

メディアは、一部のログインとパスワードが関連していると指摘しました。それらのいくつかを入力すると、ポータルユーザーのページにアクセスできます。ジャーナリストがこれについてサイトの代表者に通知した後、アカウントを入力することは不可能になりました。

ただし、リークが発生したサイトを所有している会社は、データリークに関する情報を確認しました。

「状況をすばやく分析した結果、法律に違反していないことがわかりました。当社の専門家は、サイトの技術的セキュリティに対する潜在的な脅威を分析し、サイトの不正使用を防ぐために必要な措置を講じました」とコメントしましたリーク、Forex Consulting CEOのYuri Mozgovenko。

専門家は、サイトの顧客の個人データが偽の雇用の闇市場で使用できると報告しました。詐欺師は応募者に電話して仕事を約束することができますが、採用の最終段階では、少額の支払いを求められます

さらに、パスワードの漏洩はユーザーのソーシャルネットワーク脆弱性をもたらし、ハッキングされる可能性があります。専門家はまた、履歴書には申請者に関する個人情報だけでなく、以前の雇用者に関するデータも含まれていることに注意しています。このようなリークの結果として、特定の会社の履歴書または空席を交換して、ビジネスの評判を損なうことが可能になります。

ただし、専門家はそのようなデータ漏洩の重大な脅威を認識していません。
jobinmoscow.ruによると、209,000社の566,000を超える求人と、195,000を超える履歴書が投稿されました。

(eHackingnews記事より引用)※機械翻訳

 

◆キタきつねの所感

ロシアの求人サイト「JOB IN MOSCOW」は求人数56.5万件(21万社)、履歴書登録が19.5万件と書かれていましたので、比較的大きな求人サイトです。公開されているユーザ以外に、50万件のIDとパスワードが漏えいしたと記事には書かれているので、過去分も含めたデータが漏えいしたと考えられます。

f:id:foxcafelate:20191201103952p:plain

 

一部ジャーナリストが、ハッカーフォーラムでデータベースが公開されており、そのデータを用いて「JOB IN MOSCOW」にログインが可能であった事を運営側に伝えた後に、対策が打たれた(調査された)様ですが、既に外部に漏えいした50万件以上の個人情報が、今後別な事件に使われてしまうリスクが懸念されています。

記事中では、偽就職に際しての少額の登録料詐欺や、過去の求人登録データを利用してのレピュテーション(企業の評判を下げる)攻撃などへの不正利用が懸念されていますが、私は登録者のデータを利用して、お金に困ってそうな登録者に、例えばATMからの出し子募集の誘いをかけたり、IT技術に長けている登録者をハッカー側にスカウトする、あるいはAPT攻撃の為に、以前勤めていた会社の従業員を探し出して偽の就職面談中にターゲット企業の情報を吸い上げる・・・等々、SNSアカウントのハッキング、フィッシングや、少額詐欺以外にもデータ利活用の可能性は多々あると思います。

 

そしてふと思うのが、これがリクルート等が運営している、日本の求人サイトで発生するリスク・・有益な個人情報という意味では、日本でも攻撃対象にはなり得てしまう事に怖さを感じます。

海外ハッカーが英語等の外国語が出来ない技術者をスカウトする可能性はほぼ無いでしょうが、出し子程度の単純犯罪であれば、すぐにでもこうした個人情報が使えるでしょうし、APT攻撃を考えた際に、”日本の協力者”(例えばフィッシングメール文面の校正)を手に入れる・・といった事であれば、候補者のスクリーニングに使える情報を海外ハッカーが欲しがる可能性は十分にあるかと思います。

 

いつもながら想像だけでこうしたリスクを語るのは、またどこぞからお叱りを受けるかも知れませんが、個人情報を抱えている企業は、その管理に十分目を配るべき、その事は改めて意識する必要があるのではないでしょうか。

 

 

本日もご来訪ありがとうございました。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 転職を考えている女性会社員のイラスト
 

更新履歴

  • 2019年12月1日AM(予約投稿)

象印の「システムの一部の脆弱性」を考えてみる

象印の顧客情報流出の発表は、有名企業でも不正アクセスを受けて情報流出する可能性がある、その事を改めて認識させました。

www.nikkei.com

 

象印マホービンは5日、子会社が運営するインターネット通販サイト「象印でショッピング」が外部からの不正アクセスを受け、最大28万52件の個人情報が流出したと発表した。サイトは改ざんの被害にも遭い偽の決済画面に誘導された一部の利用者はクレジットカード番号などを抜き取られていた

個人情報は顧客の名前、住所、注文内容など。電子メールのアドレスも漏えいし、犯人からクレジットカード情報を抜き取るページに誘導するメールが送られた。

日経新聞記事より引用)

 

■公式発表 【重要】個人情報流出についてのお知らせ(象印でショッピング)

 

◆キタきつねの所感

28万件の顧客情報流出は、件数としてはそう大きな事件ではないとも言えますが、部品・消耗品の購入の為にユーザー登録をしたコアな顧客の情報と考えると、象印にとっては件数以上に影響が大きいかも知れません。

事件としては、3つの要素が考えられます。

 ①不正アクセス(ハッキング)による顧客情報の流出 

 ②サイトページ改ざん (※カード情報漏えい含む)

 ③漏えいした①の情報を使ってのフィッシング (※カード情報漏えい含む)

 

まずEC-CUBEの可能性を疑ったのですが、魚拓サイトで調べてもその痕跡は確認できませんでした攻撃パターンもEC-CUBEサイトで良く出てくる攻撃(決済の偽ページ誘導からのカード情報漏えい)と違っていますので、EC-CUBEでは無いと思われます。

 

事件の全体像は以下の様なところだと思います。

f:id:foxcafelate:20191207170024p:plain

 

最初に顧客DBから恐らく全顧客データである28万件を窃取しているので、これだけでも攻撃としては成功していると言えます。(※その時点で象印側は不正アクセスに気づいていません)

 

攻撃者はどうしてもカード情報が欲しかった(金銭的利益を求めていた)のかも知れません。まずフィッシングページを設置します。そのページURLはTwitter等のフィッシングメールを公開している方の情報から、

http://www.zojirushi-de-shopping.com/images/event

であった様です。リンク先も正規ドメイン内だったので、偽ページに気づかない方も多数居たと思われます。URLの「images」(※普通はロゴや写真等を格納しそうなフォルダ)であったり、そもそも当選しているのに送料100円を求める…とという不自然な部分に気づいた方も多かった様ですが、象印の正規ドメイン内という安心感を受けて、カード情報を不正窃取された方は一定数出てしまったのは仕方が無いのではないでしょうか。

 

参考:

 

 

一方で、象印側のセキュリティ体制は大手企業(のグループ会社)が提供するサービスにしては、多々問題があった気がします。

まずはHTTP通信であった所がひっかかります。大手企業のサイトの多くはHTTPSでサイトを(部分的に)構築しています。暗号化通信のHTTPSだから安全であるとは言いませんが、セキュリティへの意識他の大手企業と比べて、あまり高く無かった事の表れと言えるかも知れません。

 

象印でショッピングサイトは現在閉鎖されており、魚拓サイトからはこれ以上は原因になりそうな所が分かりませんでしたが、今回の漏えい被害を受けた顧客が多数登録していたと思われる、象印の別サイト(ZOJIRUSHIオーナーサービス)にも、フィッシングに関する情報が掲載されていました。これを見ると、、12月4日夜に多数のフィッシングメールが送信されたとあります。

 

f:id:foxcafelate:20191207172700p:plain

 

 

公式発表には、一部の顧客からの不審なメールの問い合わせが、12月4日の18時頃にあり「象印でショッピング」サイトを停止したのが12月4日の21時頃とありますので、3-4時間位でフィッシングにひっかかった方がカード情報漏えい対象となりそうです。

 

 

余談です。。(公開されている情報が少ないので、以下は可能性があるかも?といった程度の中途半端な状態です)

 

象印本体のHPにおけるWhoisは‥当然こうなる訳ですが、

f:id:foxcafelate:20191207100732p:plain

 

今回漏えいが発生した「象印でショッピング」はドメイン管理を専門とする1apiの登録でした。象印グループでの登録ではないのは少し気になりましたが、これも特にそれ以上は怪しい所は感じませんでした。

f:id:foxcafelate:20191207100930p:plain

 

ではフィッシングメールで名前が使われていた、ZOJIRUSHIオーナーサービスはどうかというと、こちらは象印本体の登録でした。

f:id:foxcafelate:20191207101013p:plain

 

しかし、オーナーサービスの会員サイトのいくつかのページのソースを見ると・・・ちょっとひっかかる所がありました。

f:id:foxcafelate:20191207094829p:plain

 

例えばログインの所ですが、象印の前述のドメインではない所が出てきます。

 

f:id:foxcafelate:20191207095207p:plain

 

拡大すると・・

 

f:id:foxcafelate:20191207095257p:plain

 

https://tigb.f.msgs.jp

というドメインログイン回り(問い合わせ、パスワード忘れ・・・等々)で出てきます

 

 

このドメインを調べてみると・・・シナジーマーケティングという会社の登録になっています。

f:id:foxcafelate:20191207101141p:plain

 

 

どうやらCRMサービス提供の会社の様ですが、

f:id:foxcafelate:20191207174327p:plain

 

Webサイト制作も行っている様ですので、ZOJIRUSHIオーナーサービスのサイト制作も行っていたのかも知れませんが、この辺りは分かりません。

f:id:foxcafelate:20191207102218p:plain

 

正式リリースにはZOJIRUSHIオーナーサービスのWebサイトの会員DBが攻撃を受けたとは書かれていません象印でショッピングのみ記載あり)ので、ここは関係は無いものと思いますが、顧客パスワードの問い合わせをこちらの企業で請け負っているのであれば、顧客DBへのアクセス権があるのではないかと推測されるので、攻撃を受けた、象印でショッピングがサードパーティがを使っていたのだとすれば、そうしたサービス経由での攻撃だった可能性もあるかも知れません。

 

余談の余談です。では、、、どうしてそうした懸念を持ったかと言うと、ページソースから判別する限り・・・シナジーマーケティングがZOJIRUSHIオーナーサービスに提供しているサービスでは、以下の感じで複数ページのソースに出てくるのですが、

 

f:id:foxcafelate:20191207095257p:plain

f:id:foxcafelate:20191207095513p:plain

f:id:foxcafelate:20191207095721p:plain

 

既にサポートが切れているApache Struts1を使っていると推測されるからです。「.do」はApache Struts1の代表的な拡張子です。当然そうした事は承知の上で、多層防御をしているのかと思いますが、サードパーティ側の方が脆弱性がある機能を顧客(象印等)に提供をしているのだとすると、少し怖いものを感じます。

 

 

カード情報漏えいに関してはフォレンジック調査中とのことですので、続報リリースがそのうち出されるのではないかと思いますので、また手掛かりになりそうな情報が出たら、追加で考えてみたい事件でした。

 

 

本日もご来訪ありがとうございました。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 f:id:foxcafelate:20191207081010p:plain

 
 

更新履歴

  • 2019年12月7日AM(予約投稿)