Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

ダートバイクプラスオンラインストアもEC-CUBE

バイク用品通販サイトからのカード情報漏えいが報じられていました。またEC-CUBEサイトの様です。

www.security-next.com

 

■公式発表 「ダートバイクプラスオンラインストア」への不正アクセス発生についてのご報告とお詫び

 

1.漏洩の可能性のある期間ならびにお客様について
 2018年12月27日から2019年7月3日上記期間内に、ダートバイクプラスオンラインストアクレジット決済をご利用された方が対象でございます。
※なお、該当されるお客様には、弊社より、別途メールにて個別にご案内もお送り致しております。
2、漏洩の可能性のあるデータ
流出の可能性のある個人情報データは最大で3,103件
流出したクレジットカード情報については以下の通りでございます。
①カード名義人名
②クレジットカード番号
③有効期限
④セキュリティーコード
3、原因
弊社が運営する「ダートバイクプラスオンラインストア」のシステムの一部の脆弱性をついたことによる第三者不正アクセス

(公式発表より引用)

 

◆キタきつねの所感

システムの一部の脆弱性何を意味するのか?は、長くカード業界(の端っこ)に居る私でも未だに謎(※)なのですが、今回のダートバイクプラスオンラインストアEC-CUBEを利用している痕跡を確認しました

 

※個社の広報戦略上は正しい表現と見る事も出来ますが、これだけEC-CUBE利用サイトからのカード情報が続いている事を考えると、真の脆弱性が事件の公式発表で記載されない=他の事業者の気づきが弱くなっている点については、個人の意見ではありますが、こうした記載表現をすべきと助言をした関係者の方々の判断が一部間違っている様に思えます。

 

f:id:foxcafelate:20200118172905p:plain

 

何度も書いている事ではありますが、イーシーキューブ社の出している注意喚起について、EC-CUBEを利用しているECサイト運営者は把握しておくべきかと思います。(でないと、半年後には事件リリースを出している可能性もあるのです)

www.ec-cube.net

 

余談です。こうした事件リリースを読んで分析をする際に(無駄な行為かもしれませんが)私は時系列をなるべく見る様にしています。大したところではないのですが、今回1点ひっかかったのが、

 

4、対策
2019年7月1日にカード会社から決済代行会社を通じて、弊社オンラインストアで情報漏洩の懸念がある旨連絡を受け、社内での調査をいたしましたところ、漏洩懸念が判明し、被害拡大防止のため直ちに「ダートバイクプラスオンラインストア」のショッピングサイトを休止いたしました。

(公式発表より引用)

 

7月1日にサイトを止めましたという公式発表の記載です。

 

この後、オンラインストアを閉鎖している事をユーザ告知(HP上の発表)しているのですが、

f:id:foxcafelate:20200118075319p:plain

これが7月2日です。先にサイトを停止(7月1日)しておいて、ユーザ告知が少し後になっただけかと思いますので、ここの差分(1日違い)も特に違和感はありません

 

では何がひっかかったのか?というと、

 

1.漏洩の可能性のある期間ならびにお客様について
 2018年12月27日から2019年7月3日上記期間内に、ダートバイクプラスオンラインストアクレジット決済をご利用された方が対象でございます。

(公式発表より引用)

 

漏えい期間が7月3日まで、となっている事です。サイト停止が7月1日だったとすると、7月2日~3日は、

 

ECサイトが停止しているのに、どうやってカード漏えいが発生した(クレジット決済を利用できた)のでしょうか?

 

恐らくこうした小さな差分を気づく(気にする)のは、ごく一部の方しかいないと思いますが、こうした矛盾を気づく力は、サイバーセキュリティ(OSINT)の世界では知見を高める上で重要な要素なのではないかと思い、答えが出ない事が多いのですが、なるべく考える様にしています。

 

foxestar.hatenablog.com

 

本日もご来訪ありがとうございました。 

Thank you for your visit.

 

バイク事故のイラスト

 

更新履歴

  • 2020年1月18日AM(予約投稿)

ペットハグサイトは2度攻撃を受けた(EC-CUBE)

ペットフード通販サイトからのカード情報漏えい事件が報じられていました。

www.security-next.com

 

■公式発表 不正アクセスに関するお詫びとお知らせ

 

1.経緯

2019年5月7日、一部のクレジットカード会社から、「ペットハグサイト」を利用したお客様のクレジットカード情報の流出懸念について連絡を受け、2019年5月7日弊社が運営する「ペットハグサイト」でのカード決済を停止いたしました。

(中略)

2.クレジットカード情報流出の原因

弊社が運営する「ペットハグサイト」のシステムの脆弱性をついた第三者不正アクセス

(1)ペイメントモジュールの改ざんにより、2018年6月28日~2019年5月7日の期間に「ペットハグサイト」においてクレジットカード決済をされたお客様のクレジットカード情報が抜き出されていた。
(2)「ペットハグサイト」の改ざんにより、「ペットハグサイト」から偽の決済フォームへ誘導されていたため、2019年5月18日~2019年5月20日の期間に偽の決済フォームへ入力したお客様のクレジットカード情報が抜き出されていた。

 

3.クレジットカード情報流出の可能性があるお客様

(1)2018年6月28日~2019年5月7日の期間、「ペットハグサイト」においてクレジットカード決済をされたお客様
【情報流出した可能性がある項目】
・クレジットカード名義人名
・クレジットカード番号
・有効期限
セキュリティーコード
【件数】
4,011件

(2)2019年5月18日~2019年5月20日の期間、「ペットハグサイト」より誘導された偽決済フォームへクレジットカード情報を入力されたお客様
※偽の決済フォームに誘導されていたため、取引成立・不成立に関わらず、クレジットカード情報を入力した全てのお客様全員が対象となります。
※対象のお客様のクレジットカード情報は特定できておりません。
【情報流出した可能性がある項目】
・クレジットカード名義人名
・クレジットカード番号
・有効期限
・セキュリティーコード
【件数】
87件

(公式発表より引用)

 

◆キタきつねの所感

ATP攻撃以外では初めて目にする気がしますが、2度の違ったパターンでの攻撃による事件発表です。(1)の攻撃の詳細はわかりませんが、決済ページ(の周辺)に悪意あるJavaScript(スキマー)を仕掛けた、オンラインスキミング攻撃だと思います。

(2)の攻撃は決済ページ(正規)に飛ぶ、リンクページを改ざんして「偽の決済ページ」へ誘導するフィッシング攻撃(の一種)となります。

 

(1)の攻撃については、カード会社からカード情報流出懸念の連絡を受けてカード決済を止めています

しかし、支払いについては多くのECサイト事業者がそうである様に、カード以外の決済手段も対応していた事から、カードだけ停止して(追加被害はないだろうと)フォレンジック調査に入ったら、攻撃側がカード決済が止まっていても有効なフィッシング攻撃を仕掛けていた事が判明したという経緯なのだと思われます。

f:id:foxcafelate:20200118071817p:plain

 

2019年6月20日の魚拓ページ(※5月7日のカード決済停止以降)が残っていたので見てみると、カード決済停止について少なくてもトップページでの告知はされてませんでした。数日間(5月18日~5月20日)とは言え、フィッシングページ(偽の決済ページ)に誘導されてしまった方が居る事を考えると、ユーザ告知という点では若干問題があった気がします。

f:id:foxcafelate:20200118072528p:plain

 

書くのが遅れましたが、EC-CUBEの証跡が確認されました。今年2件目となります。

f:id:foxcafelate:20200118073351p:plain



この後記事を書こうと思いますが、もう1件1/15にはカード情報漏えい事件が発表されてますので、1月に入って少なくても4件のカード情報漏えい事件が発表されています。

およそ半年前の事件が多いので、現在の攻撃動向は分かりませんが、去年後半にカード情報漏えい事件が急増していた勢いのまま、カード情報漏えい事件(の発表)が続いています。それを踏まえると、2020年もECサイト運営事業者は「狙われている」という警戒心を持ち、自社サイトの(定期的な)セキュリティチェック実施を心がけるべきかと思います。

 

 

foxestar.hatenablog.com

 

本日もご来訪ありがとうございました。 

Thank you for your visit.

 

猫と男の子のイラスト(ペット)

 

更新履歴

  • 2020年1月18日AM(予約投稿)

 

 

 

3.6億円事件の実害は150万円

この地方記事を読んで、少し懐かしく感じましたが令和初の3億円事件にしては、あっさりとした報じられ方だなと思います。
www.jiji.com

 

 埼玉県三郷市内の警備会社の金庫から現金3億6000万円を盗んだとして、窃盗罪に問われた同社の元社員、伊東拓輝被告(28)の判決が10日、さいたま地裁であり、石川慧子裁判官は懲役4年6月(求刑懲役6年)を言い渡した。
 石川裁判官は「金庫内に入る権限を与えられていたことを利用した犯行で悪質」と指摘。逮捕後に約150万円を除いて回収されたが、実刑が相当とした
 判決によると、伊東被告は2019年9月、三郷市にある勤務先の警備会社の金庫から3億6000万円を持ち出して段ボール箱4箱に入れ、契約する私書箱に配達させて盗んだ。

(JIJI.com記事より引用)

 

◆キタきつねの所感

過去記事を探すと、去年10月の事件でした。以下参考まで

foxsecurity.hatenablog.com

 

金庫からの現金持ち出し(宅急便で私書箱に送る手口は新鮮でしたが・・・)なので、普通に考えれば犯人は特的されやすい・・・そんなけん制効果すら役に立たなくなっているのか、あるいは警備会社何年も務めていながら、自社のセキュリティ体制について知らない(教育を受けて無い)と考える従業員が、海外ならいざ知らず日本企業内にも居たという事実は、日本の「性善説」社会が崩れ始めている事の象徴ともいえる事件だった気がします。

 

150万円が回収不能という事なので、犯人は150万円しか不正使用(主に逃走資金)してない事になります。犯行は2019年9月4日の午前中、全国指名手配が9月9日でしたので、、私だったら、、海外に逃げる事も選択肢に入れるかと思います。色々と話題になっているレバノン等も良い選択肢と言えるかもしれません。

dot.asahi.com

 

とは言え、ゴーン氏のレバノン密出国でも話題となった「犯罪人引き渡し条約」ですが、日本は米国と韓国の2か国しか締結してませんので、(3.6億円が海外にそっくり持ち出せていたとすれば)別な国に逃げても長期間の逃亡生活が送れたかも知れません

 

捕まった犯人は経済的な困窮を犯行の原因に挙げていましたが、いくらの給与だったかは分かりませんが、3.6億円も持ち出せていながら150万円しか使えずに職と将来を失う・・・何と効率が悪い犯行だったのか、と感じてしまいました。

 

余談です。私だったら・・・と様々な事件を受けて想像すると、「監視カメラ映像を消して(壊して)逃げる」事をまず考えたかなと思います。事前逃走(大きな箱とプライベートジェット)準備にもよりますが、監視カメラ映像が無いと犯人特定には時間がかかる事となり、逃走時間や様々なオプションが取れた可能性を感じました。

 

 

本日もご来訪ありがとうございました。 

Thank you for your visit.

 

警備ロボットのイラスト

 

更新履歴

  • 2020年1月11日AM(予約投稿)

北海道へ行ってきた

正月休みを少し延長して北海道に行ってきましたので、無駄に撮りためた写真をUPしてみたいと思います。(※本日はセキュリティには関係が無い記事となります)

 

新千歳空港から電車で向かったのは、登別。行きはバスで登別温泉まで向かったのですが、日本人率の低い事低い事(※バスの中の中国語率は8割を超えていたと思います)何か海外に来た気分になります。

f:id:foxcafelate:20200111171341j:plain

 

本州の方に「登別と言えば?」と聞くと「カルルスと答えられる方も多いかと思います。でもその語源を知ってる方は少ないかもしれません。

f:id:foxcafelate:20200111171920j:plain

チェコの有名な温泉地カルルスバードの泉質によく似ている事から付けられたそうです(私もタクシーの運転手に聞いただけですが・・・

カルルスとは - コトバンク

 

因みに、道民の方に「登別と言えば?」と聞くと、かなりの確率で「クマ牧場」と返ってくるかと思います。(※注:北海道内でよく流れるCMの影響です)私も、温泉は日帰り温泉には行った事がありましたが、クマ牧場は行ったことが無かったので、中国人の観光客の方々に紛れて、行ってみました。

のぼりべつクマ牧場 公式サイト|北海道の登別温泉街よりロープウェイ約7分

 

入口では、早速クマのお出迎えがあります。(無駄に剥製が多いです)

f:id:foxcafelate:20200111172337j:plain

 

ゴンドラに乗って山頂(※クマ牧場は山の上にあります)に向かうのですが、後ろのゴンドラが異様でした。。

 

鮭積んでます!

 

f:id:foxcafelate:20200111172855j:plain


鮭を冬の空気で乾燥させて鮭トバを作っているのだそうです。因みに、この鮭トバはクマの餌(確か300円位)として、売店で買えます。

 

ゴンドラでも途中ですれ違いましたが、この日は2基が(とば1-2号)が稼働してました。

f:id:foxcafelate:20200111173247j:plain

 

北海道の南側は雪が少ない方ではありますが、例年に比べて雪が少なかった様です。

※写真はゴンドラから登別駅方面

f:id:foxcafelate:20200111173436j:plain

 

クマ牧場では、2つの牧場があって、餌やり(クッキー、りんご、鮭トバ)をできるのですが、

f:id:foxcafelate:20200111182132j:plain

 

クマ牧場にも関わらず、カラスも多数飼育されている様でした。クマが動きが遅いのを良い事に、餌を取るのを失敗するとカラスが横取りしてきます。。。クマがオネダリする姿がかわいいので、餌が定期的に投げ込まれるのもカラスとクマが共存する原因ではありそうでしたが。。。

f:id:foxcafelate:20200111173629j:plain

 

ガラス面が汚いのはアレでしたが、結構迫力のある動画も撮れます。

f:id:foxcafelate:20200111182159j:plain

 

クマと堪能したら、カルルスを堪能すべく向かったのがもう1つの観光地、地獄谷です。夜はライトアップされているそうですが、冬場は相当寒いと思いますのでお勧めできません。昼でも寒かったので・・・。

f:id:foxcafelate:20200111182411j:plain

 

少し歩いた先には、絶景が待っているのですが、ついて写真撮ったらすぐ帰る方が多かった気がします。

f:id:foxcafelate:20200111181727j:plain


パノラマだとこんな感じです。(※あったかそうですが、-5度位の環境です)

f:id:foxcafelate:20200111183222j:plain


翌日は電車移動しました。乗り換えで向かったのが、、カニで有名な長万部

f:id:foxcafelate:20200111183441j:plain

 

ですが、、1日4本しか普通電車(小樽方面)が走ってません。なので昼食がてらに一時下車します。

f:id:foxcafelate:20200111183555j:plain

 

駅前の繁華街?・・・を抜け

f:id:foxcafelate:20200111183755j:plain

 

開いていたお寿司屋さんでランチを堪能し(ネタが大きいのも北海道らしさを感じます)、

f:id:foxcafelate:20200111184033j:plain

菊善 - 長万部/寿司 [食べログ]

 

 

そのまま、海を見てきました。因みに夏場は鳴き砂だそうです。 

f:id:foxcafelate:20200111170727j:plain

 

単線の電車に乗り、ひたすら山道を進みます。

f:id:foxcafelate:20200111184412j:plain

 

ようやく目的地が見えてきました、とはいえ、やはり例年に比べて雪が少ない気がします。

f:id:foxcafelate:20200111184458j:plain

 

着いた駅は倶知安。この後、ニセコ山系の比羅夫に向かいます。

f:id:foxcafelate:20200111184551j:plain

 

少し雪と戯れて、宿でのんびりとお湯につかってましたが、夜・・・外に出ると、日本語は聞こえてきません。中国語も多いとは言え、英語が公用語の街になっていました。ホテルのお風呂(外湯有)も国際色豊かすぎました。

f:id:foxcafelate:20200111184728j:plain

余談になりますが、東京五輪を控えて温泉地や銭湯施設なので、訪日外国人向けに「タトゥー禁止」を緩和しようとする動きがあるかと思いますが、ニセコで感じたのは、普通にタトゥーをした人が大風呂に多数居る姿でした。若干違和感はありましたが、日本の(特に観光地の)近未来は、ニセコの現在の姿なのかもしれないと感じました。

 

翌日の、ホテルの部屋から見る羊蹄山蝦夷富士)。冬場は雪雲に隠れてしまう事が多いのですが、ちょっとだけ山頂を見る事ができました。

f:id:foxcafelate:20200111185206j:plain

 

スキー場で少し遊んで(転んで)から、後ろ髪をひかれながらも移動します。

 

タクシーの運転手さんと会話すると色々な「今」が見えてきますが、タクシーに乗るお客を見て、まず日本語で話しかけないのだそうです。日本人に見えても中国の方かもしれないので・・・という理由だそうです。外資系資本の入ったホテルもまだ建っているそうで、比羅夫でも、2つ建築中のところがありました。

f:id:foxcafelate:20200111185409j:plain

 

シンガポール資本の建設現場。ほとんどのホテルが温泉を掘るそうで、豊富な湯量を誇るニセコ山系ではありますが、将来、、、源泉が枯渇する問題を抱えるのではないかと、乗ったタクシーの運転手さんは言ってました。

f:id:foxcafelate:20200111185701j:plain

 

ニセコに海外を感じるのは、、街を歩くスキーヤー(長期滞在の方も多いそうです)であったり、

f:id:foxcafelate:20200111185848j:plain

 

食事場所であったり、、(日本語は第2言語な感じでした)

f:id:foxcafelate:20200111185858j:plain

 

あるいは、ホテルの看板(のぼり)等でしょうか。10年前にニセコに遊びに行った頃とは完全に様変わりしていました。

f:id:foxcafelate:20200111185906j:plain

 

ニセコから小樽に向かう途中で余市に立ち寄ります。目当てのニッカは・・・

f:id:foxcafelate:20200111190203j:plain

 

残念ながらクローズでした(調べて行けよ自分)。

f:id:foxcafelate:20200111190308j:plain

 

その後、札幌に移動して向かったのがHTB昨年のお祭りには参加してませんが、展示コーナーを見てきました。

f:id:foxcafelate:20200111190547j:plain

 

色紙に書かれていましたが、、、首都圏でも新作放映が(ネット以外で)出るそうです。

f:id:foxcafelate:20200111190557j:plain

 

MXテレビ(1月15日~)早速、帰ってから番組予約しました。

s.mxtv.jp

 

大通り公園で自衛隊のトラックを見かけました。雪まつり様の雪を運んできているのですが、ご覧の通り、札幌市内は雪があまりありませんでした。どうやら遠く(喜茂別留寿都辺り)から雪を運んできているそうです。

f:id:foxcafelate:20200111191027j:plain

 

雪まつり雪像用の足場が組まれてましたが、、、雪がまだまだ足りない印象です。(雪が足りないと輸送費が嵩むそうです)

f:id:foxcafelate:20200111191226j:plain

 

もう少し雪があった方が北海道を堪能できた気がしますが、雪が無い北海道も、それはそれで良い経験でした。また今年も仕事が忙しくなりそうな気がしますが、また時間が取れたら「水曜どうでしょう」ではありませんが、また旅に行きたいなと思います。

 


本日もご来
訪ありがとうございました。 

 

雪で転ぶ人のイラスト 

 

更新履歴

  • 2020年1月11日PM(予約投稿)

ハードオフへのリスト型攻撃

IDとパスワードだけで会員サイトを守るのには限界がある、そんな想いを改めて強くするハードオフのリスト型攻撃の発表でした。

www.hardoff.co.jp

 

 弊社が運営するオンライン通販サイト(ハードオフネットモール)において、お客様ご本人以外の三者から「リスト型アカウントハッキング(リスト型攻撃)」による不正なログインがあったことが判明しました。(中略)

(1)不正ログインが確認されたお客様のアカウント数
ハードオフネットモールにご登録いただいている149件

(2)経緯
2020年1月7日、弊社にてアクセス監視を行っていたところ、2019年11月29日から2020年1月7日の期間に、不正ログインが試行されたことを確認しました。

(3)対応
不正ログインのあったIDは、パスワードを変更しなければ使用できないように対策を講じております。対象のお客さまへは、弊社より個別にご案内いたします。
不正ログインが試行された通信元を特定してアクセスを遮断し、その他のアクセスについても監視を強化しております。また、本事案について警察に通報いたしました。

(4)閲覧された可能性のあるお客様の個人情報
○お客様の氏名(姓名、フリガナ)
○お客様の住所(郵便番号、市区郡町村、番地、部屋番号)
○電話番号、携帯電話番号、メールアドレス、性別、職業、生年月日、購入履歴
○配送先の氏名(姓名、フリガナ)、住所、電話番号
クレジットカード情報の一部 (カード名義人、有効期限、クレジットカード番号の一部)
*クレジットカード番号は、下3桁以外は非表示としており、保存されておりません。
 CVV番号(クレジットカードセキュリティコード)は、表示・保存されていないので、
 閲覧の可能性はありません。

(公式発表より引用)

 

◆キタきつねの所感

去年末の東北電力「よりそうeねっと」への不正ログイン事件の更新発表があったので、これをカウントしなければ(名が知れた企業への)今年初のパスワードリスト攻撃の事件かと思います。

 

リリース内容を見ていくと、まず経緯との所がひっかかります。

 

(2)経緯
2020年1月7日弊社にてアクセス監視を行っていたところ、2019年11月29日から2020年1月7日の期間に、不正ログインが試行されたことを確認しました。

 

アクセス監視してたのに、、1か月以上不正ログインに気づいてません何かおかしい気がします。用語の使い方の問題かも知れませんが、普通は監視=常時監視なのでは?と思います。この表現だと監視結果を1か月以上放置していたと(私には)思えてしまいます。

おそらく定期チェックでひっかかったという事なのだと思うのですが、だとすれば「検知」の表現の方が正しいのではないでしょうか。(広報チェックした上でリリースが出されているとは思いますが・・・

 

会員サイトの部分は一応ソース確認しましたが、特に気になる(EC-CUBEの様な)点は見つかりませんでした。しかし・・・トップページに少し気になる所がありました。。。

f:id:foxcafelate:20200112120124p:plain

 

見ずらいので2行に分割しますが、、

 

f:id:foxcafelate:20200112120345p:plain

f:id:foxcafelate:20200112120402p:plain

 

どうやら事件を受けて、「パスワードのセキュリティポリシー」が変更になった様です。この重要変更がいつ出されたかは分かりませんが、6桁未満の(脆弱な)パスワードが今回被害を受けた149件に相当数含まっていた可能性が高いのかと思います。だとすれば、今回被害を受けなかったアカウントでも6桁未満のパスワードは併せて強制変更をした方がよかったのではないでしょうか?ユーザの自主性(自主的なパスワード変更)に任せる今回の処置は、また被害を受ける脆弱点を残している気がしてなりません。

 

尚、会員登録の利用規約にはパスワード関連で、2つの条文がありますが、、6桁未満のパスワードに関する記載は見出せませんでした。(※プライバシーポリシーも見てみましたが、当該箇所を見つけられませんでした)

 

f:id:foxcafelate:20200112120647p:plain

f:id:foxcafelate:20200112120719p:plain

 

唯一、事件の公式発表に、

 

f:id:foxcafelate:20200112121320p:plain

 

という間接的な表現がありますが、これはポリシーとは言えないかと思います。一般ユーザが容易に見つけられない「変更」になっているのだとすれば、少し不親切(ユーザアンフレンドリー)な気がします

 

諸々指摘しましたが、事件の公式発表の最後のところに、ユーザに対するハードオフの「想い」を感じました。パスワードリスト攻撃に対するユーザ啓蒙の参考になると思いますので、ご紹介します。(※丁寧な説明、2次被害を受ける可能性があるフィッシングへの注意喚起が参考になる気がします)

今回の不正ログインの手法は、他社サービスから流出した可能性のあるユーザID・パスワードを利用した「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われていると推測されます。そのため、他社サービスと同じパスワードを設定している場合は、不正ログインの対象となる可能性があります。他社サービスと同じパスワードを設定しないことが、リスト型攻撃を防ぐ方法の1つです。
本件に関して個別にご連絡を差し上げているお客様に限らず、他社サービスと同一のユーザID・パスワードをご利用の方は、速やかにパスワードをご変更くださいますようお願いいたします。弊社は、お客様情報の保護を最優先事項と認識しており、この度の事態の発生を真摯に受け止め、不正ログインの監視強化など、より一層お客様が安全・安心にお買い物できる環境を整備してまいります。

本件に関するお問い合わせは、下記窓口までお寄せくださいますよう、お願いいたします。なお、本件に限らず、弊社がお客様にメールや電話、SNSなどでパスワードやクレジットカード番号をお伺いすることはございませんので、ご留意くださいますようお願い申し上げます。

(公式発表より引用)

 

 

余談です。誰得情報ではありますが、専門分野(PCI)でもあるので豆知識を書いておきますと、ハードオフの公式発表にあった「CVV番号」については正確な表記ではありませんCVVは、VISAブランドのセキュリティコードの名称(※より正確にはサインパネル上の番号は「CVV2」ですが)となります。紛らわしい事に各クレジットカードブランドによって、セキュリティコードの呼び名が違います。なので、、こうした発表の際は、「セキュリティコード」と書く方が無難かと思います。

 

参考:各クレジットカードブランドのセキュリティコード名称

ブランド 略称 正式名称
VISA CVV Card Verification Value
mastercard CVC Card Verification Code
JCB CAV Card Authentication Value
Diners CVV Card Verification Value
Amex CID Card Identification Number

 ※正しくは磁気テープの中に入っているのが「CVV1/CVC1/CAV1/CID1」で、サインパネルの上にある3桁の番号が(Amexは表面4桁)「CVV2/CVC2/CAV2/CID2」と区別されます。

 

 

本日もご来訪ありがとうございました。 

 

 リサイクルショップのイラスト

 

更新履歴

  • 2020年1月12日AM(予約投稿)

 

米国のセキュリティ人材不足がもたらす影響

総務省平成30年に発表したレポートによると、2020年の日本のセキュリティ人材は約19.3万人不足するとされていますが、米国では31.4万人が不足していて、今後さらに不足が拡大すると予想されています。
www.ktvb.com

 

 サイバーセキュリティ教育のための国家イニシアチブのデータによると、 現在、米国には314,000人のサイバーセキュリティ専門家が不足しており2021年までに労働力不足は数百万人に増加すると予想されています。

 (中略)

 世界的に、サイバー犯罪のパターンはターゲットとして大規模なWebサイトに焦点を合わせなくなり、代わりに、ハッカーは中小企業により注意を向けています

「トレンドの観点から私たちが見つけているのは、中核企業から中小企業へのターゲットの拡大です。また、より迅速で破壊的な攻撃も見ています。」

その理由の一部は、使用されるコーディングの種類の高度な洗練です。機械学習人工知能などの技術は、オンラインの干し草の山にサイバー針を作成しています。

Inchは、4.2秒ごとに新しいマルウェアが作成されるため、これらの要因がすべて組み合わさって、誰かまたは何かが攻撃されたことを検出することがますます難しくなっていると述べています。

「統計は中規模から大企業までのものであり、違反の検出は約201日です」と彼は言いました。

これらの違反は、企業に毎年何百万もの損害を与えています。インチによると、2017年のサイバー犯罪による企業あたりの平均コストは1,100万ドルでした。現在、そのコストは平均で1300万ドルに増加しています。

(中略)

最も重要なことは、サイバーの脅威に関しては、最も重要な要因は認識であるとインチは言った。

「それは「私には起こらない」とは思わないでください」と彼は言いました。「あなたが攻撃されると仮定してください。「if」の問題ではなく、「when」の問題です。」

 (KTVB.com記事より引用)※機械翻訳

 

◆キタきつねの所感

ニュース映像(英語)も見たのですが、HPの専門家が上記の内容、つまり米国のセキュリティ人材不足は深刻で、現時点で31.4万人不足していて、中小企業にも攻撃者の対象が移行している事、新しいAIや機械学習等の攻撃の多様化などで、さらに今後米国での人材不足が加速すると明言していました。セキュリティ人材不足は、深刻な問題ではなかった米国という印象があるのですが、状況は変わりつつある様です。

参考:【図解】日本企業”だけ”が「セキュリティ人材不足」と嘆く理由

 

日本のセキュリティ人材不足については今更言うまでもないかと思いますし、本業のセキュリティコンサルタントとして、ここ最近急に引き合いが増えている事からも実感していますが、今まであまり積極的にはセキュリティ対策を行ってこなかった、(名が知れた)日本企業も、ようやく重い腰を上げ始めてきている気がします。こうしたニーズに出来る限り応えようとはしているのですが、最近はそこまで高度な内容を求めます?(その予算感で・・・)と言う引き合い、つまり”受けられない”レベルの案件も増えつつあります

 

個人的な感覚では、日本も自社で足りないセキュリティ人材を、外部リソース(コンサル)を含めての奪い合いが始まっている気がします。

 

先に結論(じみたもの)から書くと、先日の予想記事も挙げましたが、このままでは、

日本は海外に人材引き抜き合戦で負けます

foxsecurity.hatenablog.com

 

そう思ったの理由は、元ソースにもう少しデータが載っていたからです。

米国のセキュリティ人材不足と引用された元ソースはCSIS(Center for Strategic&International Studies)が去年1月に出したレポートがこれに当たります。このレポート内容を少しご紹介すると、

www.csis.org

8か国のIT意思決定者に対するCSISの最近の調査では、雇用主の82%がサイバーセキュリティスキルの不足を報告しており、71%がこの人材ギャップが組織に直接かつ測定可能な損害を引き起こすと考えています。

Cyber​​Seek、サイバーセキュリティ教育のための国家イニシアティブ(NICE)が資金提供イニシアティブによると、米国は1月2019のとほぼ314000サイバーセキュリティの専門家の不足に直面したコンテキストでこれを配置するには、国の総就業サイバーセキュリティの労働力だけです716,000

求人情報から得られたデータによると、満たされていないサイバーセキュリティの仕事の数は、2015 年以降50パーセント以上増加しています。2022年までに、世界的なサイバーセキュリティの労働力不足は、180万人以上の空席に達すると予測されています

CSIS記事より引用)※機械翻訳

 

2019年1月時点で、米国では約71,6万人のセキュリティ人材がおり、約31.4万人のセキュリティ人材不足があるとされています。日本の総務省のレポートでは2020年予想で、日本のセキュリティ人材は約37万人不足が19.3万人)です。人口が倍違う米国と日本ですので、ほとんど同じ様な状況である事がわかります。

全世界的にも2022年までに、180万人のセキュリティ人材不足が予想されている中で、米国が何を考えているのかと言えば、人材育成です。例えばボイシー州立大学では、セキュリティ人材育成を支援するオンライン認定プログラムに、アイダホ州から80万ドルの補助金を受けましたが、これは企業や組織のセキュリティ人材のニーズと、大学等の教育機関の教育との間にギャップがあると気づき始めたからです。

 

CSISレポートでは、以下の様に書いています。

サイバーセキュリティ内のほぼすべての職位に人員不足が存在しますが、最も深刻なニーズは高度な技術を持つスタッフです。2010年、CSISのレポート「サイバーセキュリティにおける人的資本の危機」は、米国は「すでに展開されているシステムを運用およびサポートするために必要な高度に技術的な人材が不足しているだけでなく、安全なシステムを設計し、安全なコンピューターコードを記述し、システム障害や悪意のある行為による損害を防止、検出、軽減、再構成するために必要な、さらに洗練されたツールを作成できます。」当時のインタビューでは、10,000人から30,000人の人員が必要だったのに対し、米国にはこれらの役割を担うスキルと能力を持つセキュリティスペシャリストが約1,000人しかいなかったことが示されました。

その報告から9年間、これらの課題は根強く残っています。2016年、CSISは、ITプロフェッショナルが依然として侵入検知、安全なソフトウェア開発、攻撃軽減などの技術スキルをサイバーセキュリティオペレーターの中で見つけるのが最も難しいと考えていることを発見しました。カリフォルニア州のビジネスに関する2018年の調査では、必要な技術スキルの不足が、サイバーセキュリティの候補者を採用する際に組織が直面する最大の課題の1つであることが明らかになりました。これらの課題は、ミッションクリティカルな職務にとって特に深刻であり、組織の3分の1以上が脆弱性評価アナリストの候補者の技術スキルの不足を報告し、雇用者の半数がサイバー防衛インフラストラクチャのサポート候補者の欠陥を報告しています。

CSIS記事より引用)※機械翻訳

 

※米国がどんなスキルを教育機関で伸ばそうとしているかの詳細はここでは紹介しませんが、CSISレポート(英語)を見て頂くと、多くの気づきがあるかと思います。

 

しかし、専門教育の中身まで変えようとしている米国であっても、全世界的に専門スキルを持つ人材が不足する事態には(短期的には)対応できません

そうなると日本を含む、高度な技術を持つセキュリティ人材、そして優秀なセキュリティ担当は近い将来に米国やアジア圏の国々からのスカウト(引き抜き)が来る可能性がある、そんな時代の到来は案外早いかと思います。

 

そして、引き抜きがあった際は、待遇面で日本企業(組織)は海外企業に負けます

 

現在セキュリティを担当している若手社員の方々は、人数が少なくてハードな業務をこなしている方も多いかもしれませんが、もうすぐ来るであろうグローバルの波を考慮して、自身のスキルを磨くと良いかと思います。

 

とは言え、単にIT知見があるだけの頭でっかちの人材は、海外企業から高い評価は受けないと思います。特化型の優秀なホワイトハッカー以外では、ITの専門(基礎)知見に基づいて、侵入テスト、安全なシステム設計、インシデント対応、セキュリティツール実装などの実地経験を幅広く身につけた人材であり、語学力を含む)コミュニケーション能力、チーム適応能力、問題解決能力等のソフトスキルを持つ人材が高い評価を得られるかと思います。

 

米国では、イランへの攻撃を機に、国土安全保障省が企業や政府機関がサイバー攻撃に対して高い警戒態勢に入るよう警告を発しています。さらに11月の大統領選挙に向けて、サイバーセキュリティも(候補者の)議題となる動きもあり、良くも悪くも、セキュリティに注目が集まりつつあります。

National Terrorism Advisory System Bulletin - January 4, 2020 | Homeland Security

 

東京五輪を控え、日本もサイバー攻撃が激化する予想がありますが、日本でのセキュリティ人材育成に関しては、後手に回らない様に海外の動きもウォッチできる(※出来れば、英語以外のソースでも一次ソース確認する)事も能力に含めるべきかと思います。

 

 

本日もご来訪ありがとうございました。 

 

 忙しく仕事をしている白衣の男性のイラスト

 

更新履歴

  • 2020年1月12日AM(予約投稿)

市進教育グループの即日対応

首都圏を中心に学習塾を展開する市進教育グループが年末に不正アクセスを受け一部ページが改ざんされていた事が報じられていました。

www.security-next.com

 

■公式発表 

 弊社マイページ改ざんに関するお詫び

 

同社によれば、サイトの更新に用いているアプリケーションが第三者による不正アクセスを受け、会員向けウェブサイト「市進マイページ」の一部が改ざんされたもの。会員専用ページへログインすると、悪意あるページが表示される状態となっていたため、同社では2019年12月25日10時半ごろ同サイトを閉鎖した。

同社では、サーバの全ファイルを攻撃前の状態に復元し、攻撃対象となったアプリケーションにおいて、更新できるIPアドレスを設定するなどアクセス制限を実施。さらにアプリケーションへアクセスするユーザーのパスワードを変更した上で、同日19時15分ごろに再開した。

今回の不正アクセスによる、会員の個人情報の流出については否定している。

(Security Next記事より引用)

 

 

◆キタきつねの所感

市進教育グループといえば、首都圏を中心に学習塾等を展開していて、たまにCMを拝見します。今回は不正アクセス被害は出てないとされていますが、何故取り上げるのか?と言うと、攻撃パターンが少し気になるからです。

f:id:foxcafelate:20200109115817p:plain

 

るSecurity Nextの記事には書かれてませんでしたが、公式発表の方にはもう少し詳しい情報が掲載されていました。

 弊社サイトの一部において、第三者からの不正アクセスにより改ざんされていることが判明したため、同サイトを2019年12月25日10時30分より同日19時15分まで閉鎖しておりました。ご利用いただいております会員の皆様におかれましては、ご迷惑をお掛けしましたことを、深くお詫び申し上げます。
■今回の事象について
 サイトを更新するアプリケーションに対して外部から侵入し、サイトを書き換える攻撃がありました。
■対象ページ ※以下サイトの一部のページ
 市進マイページ
https://my.ichishin.jp/mypage/

(公式発表より引用)

 

まず注目すべきなのが、不正アクセスによる被害を検知(確認)してサイトを閉鎖してから、対策を講じ約9時間でサイト復旧している事だと思います。冬季学習あるいは受験を控えた学生への影響が最小限で抑えようと関係者(IT部門)の対応が迅速であったのかと推察します。

原因部分については、「サイトを更新するアプリケーション」が狙われた事が書かれています。CMSなので、Wordpress辺りかな?と思ってトップページのソースを見てみると・・・当たりの様でした。

 

f:id:foxcafelate:20200111072557p:plain

 

会員サイト用のドメインhttps://my.ichishin.jp/)も同じですし、サイト更新用に使っていたCMSWordpressである可能性は高そうです。

 

一方で対策内容を見ると、市進教育グループのセキュリティ体制(事前対応)には疑問を感じる部分がありました。

■主な対応内容
 (1)サーバーの全ファイルを攻撃前の状態に変更
  サーバー内の全ファイルをバックアップから攻撃前の状態に復元いたしました。
 (2)今回攻撃対象となったアプリケーションにアクセス制限を設定
  アプリケーションを更新可能な接続先アドレスの制限を強化いたしました。
 (3)アプリケーションにアクセスするユーザーパスワードの変更
  アプリケーションにアクセスするユーザーパスワードをすべて変更いたしました。

(公式発表より引用)

 

(1)はバックアップからの復元が迅速であった事を示唆しています。特に問題ないかと思います。(むしろランサム等の被害を受けて復元に手間取る企業が多数ある中、素晴らしい対応と言えるかと思います)

(2)は管理者ログインへのIPアクセス制限です。対策として妥当かと思います。

(3)は管理者パスワード強化です。欲を言えば2要素認証やリスクベース認証等が追加されると更に強固になると思いますが、緊急対応としては妥当で当然かと思います。

 

 

・・・では何が問題と感じたのか?

 

 

それは、(2)と(3)は事後対応では無く、事前対応でやっておけば、被害を受ける事が無かったという点です。今回は個人情報漏えいの被害は受けて無い様ですが、サイトの作りによっては会員DBまで不正侵入を許していた可能性もあるのです。

今回の様に、検知が比較的容易な、悪意のあるページに転送する、という攻撃ではなく、情報を吸い上げる様なJavaScriptをこっそりとページに仕込まれていた場合、個人情報漏えいまでつながった可能性もあったと思われます。

 

管理者アクセスが狙われてページが改ざんされるのは、EC-CUBEへの攻撃パターンと相通じるものがあります。その攻撃先が、EC-CUBEの管理者アクセスではなく、Wordpress等のCMSでの管理者アクセスだったというだけな気がします。

 

市進教育グループの対策内容から推察すると、(2)IPアクセス制限はされておらず、Wordpressの管理者ログインページには、URLさえ知っていれば(おそらく初期設定のままで私でも推測できるURLの気がしますが)誰でもアクセス可能だったのかと思います。さらに言えば、(3)管理者パスワードが容易に推測できた(あるいは他のサイトで使い回しをしていた事から狙われた)可能性が高いと言えそうです。

 

繰り返しになりますが、市進教育グループは事件対応として、9時間で(2)IPアクセス制限、(3)管理者パスワード強化を実現しているのです。ですが、

 

そんなに簡単にできる事であるならば、もっと早くやっておくべきだったのでは?

 

と思うのです。(他サイト運営者への気づきになると良いのですが)

 

 

余談ですが、狙われた会員ページも見てみましたが・・・EC-CUBE等の会員サイト構築(にも使える)外部パッケージ利用の痕跡は確認できませんでした。

f:id:foxcafelate:20200111073310p:plain

 

 

 

 

本日もご来訪ありがとうございました。 

Thank you for your visit.

 

塾の講師のイラスト

 

更新履歴

  • 2020年1月11日AM(予約投稿)