Fox on Security

セキュリティリサーチャー(自称)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

HB-101ネットショップ本店サイトへの不正アクセス事件をまとめてみた。

2017年11月15日、植物活力液や健康食品の製造・販売を行うフローラのECサイトHB-101ネットショップ本店サイト)が不正アクセスにより、クレジットカード情報635件が漏えいした可能性がある事を発表しました。この関連情報をまとめてみます。

インシデントタイムライン

日時

出来事

2017年4月22日

~2017年5月22日

不正アクセスにより、クレジットカード情報が流出したおそれ

 2017年5月22日

クレジットカード会社からクレジットカード情報流出の懸念があると指摘を受ける

クレジットカード決済の停止

ECサイト公開も停止
 (不明)

調査(フォレンジック調査)会社に調査を依頼

 2017年9月29日

第三者調査機関より、最終報告書を受領

 公式発表

原因
事件の状況 
  • 2017年4月22日~2017年5月22日までにクレジットカード決済を利用した顧客(最大635件)のクレジットカード情報が外部に漏えいした疑い
  • 流出した可能性のある個人情報
    • ローマ字指名(カード会員名)
    • カード番号
    • カード有効期限
    • セキュリティコード

再発防止策

  • セキュリティ専門会社のアドバイスのもと 

   ①Webサイト、Webサーバとも新システム(セキュリティ対策強化)に全て移行   

   ②新システムの運用業者を一元化(予定)   

   ③第三者機関による脆弱性検査を定期的に実施   

   ④社員教育等を通じて、セキュリティ保全を徹底 

公表が遅れた理由

平成29年5月22日の個人情報流出懸念から今回の発表に至るまで時間を要しましたことを深くお詫び申し上げます。本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫びを申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招きかねませんので、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が望ましいと考え、弊社ECサイトでのクレジットカードのご利用は直ちに停止いたしましたが、発表は外部の第三者調査機関の調査結果を踏まえ、クレジットカード会社との連携を確保した上で発表すべきものと判断いたしました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

 

◆キタきつねの所感
いくつかの疑問が残る不正アクセス事件ですが、まず最初にやはりセキュリティコード漏えいについて触れなければなりません。何度も同じ事を(Blog初めて1ヶ月未満ですが・・)書かなければならないのは大変残念なのですが、EC事業者は決済後にセキュリティコードを保存する事は禁止されています。よってPCI DSSの観点で言ってもルール違反な運用をしていた(意図的であれ、そうでないにせよ)事になります。

次に問題だと感じるのは、「お詫び」の中でも触れられていますが、事故報告が遅いということでしょうか。5月に漏えいが判明して、9月末に最終レポートが出ていて、何故11月なのか?関係者と協議・・というのは他ECサイトの漏えい事件と比べても遅すぎる印象です。11月7日に不正アクセスを公表したタカゴルフは8月16日に事件が発覚し、最終レポート受領は同じく9月29日です。この事件より発表が遅いのは、何か他に事情があったのではないか?とも思えてしまいます。

もう1点気になったのは、対策案の記載で登場する、「新システム」なるものです。この部分の記載から事件時、Webサイト/Webサーバは新と旧の2システムで運用されていた様に思えます。そして旧サーバのセキュリティ脆弱性を突かれた、、、そんな想像をします。恐らくこれ以上の情報公開はされない気がしますが、何か情報更新がされましたら、続きを書きたいと思います。

 

関連ニュース記事netshop.impress.co.jpwww2.uccard.co.jp  更新履歴

  • 2017年11月20日 AM 新規作成

PCI DSSをやらないなら、リスクは許容されなければならない

ZDネットさんに、PCI DSSの記事が出てました。専門分野でもあるので少しコメントしてみます。

japan.zdnet.com

記事内容として、クレジットカード業界の置かれている状況がよくまとまっています。また日本では2008年から普及への取り組みが始まったという辺りも、その通りかなと思います。

こうした経緯により、2016年2月には経済産業省が主導する「クレジット取引セキュリティ対策協議会」から国内クレジットカード業界におけるPCI DSSへの準拠を2020年までに進める実行計画が発表された。

少し端折られたのは、実行計画なるものは実際は2012年に1回目が出ている辺りでしょうか。

www.paymentworld.jp

Paymentnaviさんの記事を見ると分かりますが、2012年に出されている実行計画は、大手カード会社と大手のサービスプロバイダー程度にしか普及しなかった背景があります。JCAガイドラインが出た時点では、来年6月頃に施行される改正割賦販売法ほどには強制力がある書き方がされてませんし、経産省JCAも関係者に積極的に説明を行ってなかった部分もあり、つまり最初の実行計画はうまくいかなかったと言えます。

その経験を受けて2016年の実行計画が出てきました。特に2020年の東京五輪に向けてのキャッシュレス社会の促進や改正割賦販売法の施行という追い風もありましたので、クレジットカード業界のプレイヤーが真剣に取り組み始めた、という所があろうかと思います。

とはいえ、実行計画では元々のPCI DSSの概念に無い、”カード情報非保持化”という例外(免責)事項もある事から、楽な方、楽な方と考える企業が、実際にはカード情報を社内に保有しているのに(本当はPCI DSS準拠を目指すべきなのに)安直に非保持を狙う事を考えているところも残念ながらある様です。

攻撃側は、その狙った個社がカード情報非保持だろうがPCI DSS準拠だろうが関係なく攻撃する訳であり、そこに価値のある情報があれば、ECサイトでの不正購入に使ったり、ブラックマーケットに流すことになります。そうした正しいリスク判断の元で、カード情報非保持を目指されたり、PCI DSS準拠を目指されたり、あるいは諸々のリスクを考慮して『何もやらない』、といった選択肢を取る事が求められています。その観点において、安直な判断を下している企業が将来事故を起こすリスクは依然高いままであることには気をつける必要があります。

ですが、PCI DSS準拠しているからといって、カード情報が安全である、サイバー攻撃を受けてもカード情報やクレジットカード情報は流出しない、という事はまったくありません。(銀の弾ではありません)GMO-PGが今年3月にApache Struts2脆弱性を突かれて(実質上の0ディ攻撃)カード情報を流出させてしまった様に、PCI DSS準拠は最低限やらなければならない事がまとまったガイドラインでしかないのです。

不正アクセスに関するご報告と情報流出のお詫び GMOペイメントゲートウェイ

 

ZDネットさんが書かれていたPCI DSS--日本で“市民権”を得られるかについて私見を述べるなら、自社のリスク分析を真面目にやれば、PCI DSS準拠(あるいはそれ以上の対策)を本当に取り組まなければならない企業が増えますし、PCI DSSに取り組まなくても良いと正しいリスク許容をされる所も増えますので、重大なカード情報流出事故が減り、市民権を得られる(=普及する)のではないかと思います。

リスク分析を(真面目に)行わず、「実はセキュリティ対策をしっかりしてませんでした、ごめんなさい」という事件が今後も多く出てくるようであれば、経産省やカードブランド、カード会社(アクワイヤラー)も、もう1段階厳しく、セキュリティ対策強化(PCI DSS準拠)を求めてくるのかと思います。結果として、強制的に市民権を得ることにはなるかも知れませんが、やはりその前に、業界の自主努力で市民権を得てほしいものです。

 

サイバーセキュリティにおける現状を変える7つのポイント

10月20日のIT Mediaエンタープライズさんの記事「社長がセキュリティを理解しない会社など、辞めた方がいい」での書き忘れ。

 

www.itmedia.co.jp

Krebs氏は講演の最後に7つのポイントを挙げています。

  • 侵害を受けている前提で対処せよ。赤い薬を飲め
  • コンプライアンスを超えろ。順守するだけではだめだ
  • 社員を把握せよ。悪い社員の行動パターンをつかめ
  • 二要素認証はもう当たり前、パートナーを含めて実施せよ
  • 有能なセキュリティ人材を集めよ
  • 訓練せよ、とにかく訓練せよ
  • 既に持っている機器でセキュリティを高めよ、そのためには最新のパッチを当てよ

この有益なる指摘に対する自分なりの解釈としては、

侵害されている前提でセキュリティを考えるとなると多層防御やセキュリティ・バイ・デザインでしょうし、コンプライアンスを超えろは、PCI DSSなどでも言われていますがやるべき事は最低限やるべき事なのだという認識と考えるとしっくりきます。社員を把握しろ、は性善説(社員を信じる)が主流の日本企業が特に弱いところかも知れません。個人情報保護法などの制約はありますが、行動を把握することでリスクを軽減するを考えるべきでしょう。2要素認証・・・パスワード問題ですね。特に外部からのアクセスや管理者アクセスを留意すべきです。セキュリティ人材の確保・・・米国みたいに他社から引っこ抜いてくるのは難しいと思いますし、そもそも不足しているので・・この指摘はあまり良い手が考えられません。訓練は、その通り!サイバー攻撃側の進化に対応するには自分や組織のレベルを上げていくしかないのですが、教育予算はあまり増やさない経営者がまだ多いかも知れません。最新パッチを当てろ。耳が痛いところですが、運用側の視点では意外と大変(セキュリティ視点ではとってもいいやすいのですが)です。テスト環境に予算つける事が当たり前になり、テストする時間が確保され(あるいは本番システムを定期的に止める事が必要とステークホルダーに理解させる・・とか)、パッチ対応人員が確保できれば・・・ここはやはり時間がかかる組織が多いかも知れませんね。。。

いずれにせよ正論です。Krebs氏の指摘に前向きに取り組むと世界は変わるだろうと思います。

 

 

ミヨシ石鹸への不正アクセス事件をまとめてみた。

2017年11月13日、せっけんのECサイトミヨシ石鹸)の通信販売サイトに不正アクセスにより、クレジットカード情報392件が漏えいした事を発表しました。この関連情報をまとめてみます。

インシデントタイムライン

日時

出来事

2017年6月6日

~2017年8月31日

クレジットカード決済で購入情報が流出し、一部顧客のクレジットカード情報が不正利用

 2017年8月31日

クレジットカードの決済代行会社よりクレジットカード情報流出の懸念があると指摘を受ける

クレジットカード決済の停止

フォレンジック調査会社(Payment Card Forensics社)に調査を依頼

 2017年10月19日

調査会社より、最終報告書を受領し、不正アクセスによりクレジットカード情報等の流出を確認

公式発表

原因
  • Webサーバに外部から不正アクセスを受け、アプリケーションファイルが改ざんされクレジットカード会員データが不正に取得
事件の状況 
  • 2017年6月6日~2017年8月31日までにクレジットカード決済を利用した顧客(最大392件)のクレジットカード情報が外部に漏えいした疑い
  • 流出した可能性のある個人情報
    • カード会員氏名
    • カード番号
    • カード有効期限
    • セキュリティコード

再発防止策

  • セキュリティ専門会社のアドバイスのもと、 
   ①通販サイトのセキュリティ強化
   ②通販サイトの管理・運営方法についてもセキュリティ・安全性確保の観点から随時見直し 
 

◆キタきつねの所感

ECサイト(EC加盟店)に経産省JCAの指導している実行計画が浸透していない事が現れている事件かもしれません。やはりセキュリティコードが漏れていることから、PCI DSS視点では、プログラム等々の実装違反が疑われます。(ECサイト側には決済終了後にセキュリティコードは残してはいけない)セキュリティ専門会社の助言の元で、おそらく自社側システムの改修ではなく、PCI DSS準拠の決済代行業者にに決済を代行してもらう形に変更していくのでしょうが、再発防止策を裏読みすると、「通販サイトとしてセキュリティ・安全性対策確保は考えてなかった」事が大きな原因となっているかと思います。

8月はタカゴルフも情報漏えい事件を起こしていましたので、他のECサイトも自社でカード情報を抱えている所は、来年3月のガイドライン期限を待たずに、対策を進めていかないと事件が発生するリスクがある事を認識すべきなのだと思います。

関連ニュース記事

 

更新履歴

  • 2017年11月17日 AM 新規作成

スターがついてました。

何となく時間が取れたのではてなBlogで書き始めてみましたが、未だに試行錯誤です。以前はココログでぶつぶつつぶやいていたりしてたのですが、機能制約で例えば表が作れなかったり、piyologさんみたいな記事が書けないところが面倒であまり事件記事をUpしてませんでした。

はてなのシステムでよく分かってなかったのは、スターと言うシステムです。Facebookで言う「イイね」ボタンのようなものなのでしょうが、少しびっくりしたのは、初日11/5の記事(はじめてみた。)にpiyokango氏のスターがついていた事でしょうか。

調べ物をしている最中にでも訪問頂いたのでしょうが、ちょっとビックリでした。まだまだ何もできてませんが、他に何人かスターをつけて頂いた方にも御礼を。

はてなブログの機能がよく把握しきれてませんが、他に使い勝手が良い(ココログと比べて)のは、リンク貼る際に埋め込みリンクを入れられる所でしょうか。多いと情報源を挙げる際にはゴミゴミしそうですが、初期調査=最終報告的な情報にはこちらの方が向いてそうです。

 

調べたい事件や大きな事件が発生しても即時的に追っかける事が難しい事も多いので、適度に自分のペースを掴めれば良いのかなと思います。

 

f:id:foxcafelate:20171112161851p:plain

 

d.hatena.ne.jp

Apple社員のNDA

今週読んでいて気になったニュース。いまさら感がありますが、10月末に流れていたのが「Apple社員の娘がiPhoneXの動画を公開」というもの。「会社の秘密情報は家族であれ漏らさない」ことの重要性を改めて認識させられます。

 

f:id:foxcafelate:20171112120203j:plain

11月3日に発売されたiPhoneXですが、動画がupされたのは、10月24日(Gigazine記事)。9月下旬に発表会でiPhoneXは発表されていますので、動画にiPhoneX機能に関する特別な秘匿事項があったかと言えば、それほどでも無いのかと思いますが、発売前という事もあり話題になってしまい、apple社はすぐにこの動画に気づきます。

 

www.youtube.com

社員の娘(YouTuber)が発売前の情報をYouTubeに掲載する。しかも新社屋内のカフェで。そうしたバリューが話題となり、本人がすぐに動画を消しても、別な人がYouTube内に転載されまくってしまったた後でした。

 

f:id:foxcafelate:20171112120445j:plain

Apple社員のお父さんは、この動画が原因で「元社員」となってしまった様です。Appleのエンジニアを4年も続けた(きっと優秀な)社員であっても、解雇あっと言う間です。解雇理由はNDA違反であったようですが、「写真、映像、端末機能など、公式にリリースされていないハードウェア情報を音声、写真、映像で記録することが禁止」というAppleと社員の間で交わされたNDA違反なのだそう。

 

娘(Brooke Amelia)さんが、すごいYouTuberかと言うと、そうでもありません。むしろこの動画が元になって有名になっているだけで、1ヶ月に1~2回程度の動画をUpする程度で、ある意味趣味の世界に近いかもしれません。

f:id:foxcafelate:20171112120207j:plain

既に発表会後で、その他のYouTuberもiPhoneX情報をUpしている。発売前に新製品を触れる私すごい!(お父さんすごい!)程度の軽い気持ちだったろうとはいえ、結果は重大なもの(炎上、お父さんの解雇)となりました。

SNSでの情報公開は怖い、だけでなく、Appleにとってこうした技術情報の価値があって、それをNDAで守っていることについて、元社員であるお父さんの認識が甘いから解雇までいきついてしまった。そんな事も考えさせられます。

 

こうしたAppleの対応について、ネット上では「厳しすぎるのではないか?」といった意見もあるようですが、スティーブ・ジョブズ時代には、もっと厳しかったといわれていますので、私は当然かなと思います。(この程度であっても解雇しなければ、次製品の情報がまた内部から漏れてしまうリスクが懸念されます)

 

参考:ITmedia ビジネス 2012/3/19記事 

bizmakoto.jp

あるプロジェクトを手がけたときには、ひとつの階に特別な鍵をつけ、余分なドアをひとつふたつ設けて担当チームを隠した。チームのメンバーは、自分は極秘プロジェクトにかかわっています、妻や子供も含めて誰にもこのことは口外しません、という特別な契約書に署名しなければならなかった
ジョブズはつねづね全社的な情報の守秘義務を社員に説いていた。ある元社員は思い出す。 「彼はよく“この打ち合わせで話したことを、なんだろうと外にもらしたら、解雇するだけでなく、うちの弁護士の総力をあげて告訴する”と言っていました。僕はそれでとても不安になった。やることなすこと、すべてに気をつけなきゃいけませんからね。夢に出てくるほどでした」

アップルのオフィスに人を招くことはできるが、訪問者は厳しい監視下に置かれる。社員が片時も離れようとしないので(カフェテリアのなかで、ほんのわずかな時間でも)驚いたと言う人もいる。2011年なかばにアップルの友人を訪ねたテクノロジー業界の幹部は、この訪問についてツイッターで何もつぶやかないように、そして人気のWebサイト、フォースクエアにチェックインしていまの位置情報を知らせないように、と言われた

 

たいていアップルは従業員の自己規律に期待しているが、まれに彼らの社外での発言に注目することもある──たとえ向かいの店でビールを飲んでいるときにしろ。クパチーノの本社のすぐ近くに、内部者がふざけてIL‐7(インフィニット・ループ7番地、実際の社屋は存在しない)と呼ぶ店〈BJレストラン・醸造所〉がある。社内の噂では、平服のアップルの警備員がこの店のバーカウンターの近くをうろついていて、余計なことをしゃべった従業員が解雇されたことがあるらしい

こうした記事をみる限り、Apple社内はジョブズ存命な頃に比べて緩んでいる・・・とも言えそうです。

 

 

英国民保険サービス(NHS)のパッチ当て

ZDNet Japanの10月30日記事を見て、考えてみたのですが、人の命を守る機器についてのパッチ当てというものは、訴訟問題にも発展しかねないので慎重になる医療機関が多いのかも知れませんね。

japan.zdnet.com

  • IT部門からパッチ適用の緊急警告を受けていた

結果、セキュリティに関する基本的なベストプラクティスが適用されていれば、WannaCryの被害を食い止められていた可能性がある

 

まったくもってその通りなのですが、パッチを当てたら動かなくなる(医療継続ができなくなる)。端末更新の予算が十分に取られてない。という問題があったとすると、病院側が抵抗したであろう事も予想がつきます。

 

だとすれば、パッチを当てられない事を前提とした、セキュリティ設計を考えるべきだったのかなと思いました。少なくても閉域網(クローズド環境)は維持していたとは思いますが、ネットワークが外部と接続している部分の脆弱性診断やFW、ネットワーク監視などが出来たのではないかな、、、と想像します。