Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Panera Breadが脆弱性を8ヶ月放置した結果

つぶやいてみた。 海外事件

ITmediaの4月4日記事に、米国やカナダで2100店舗以上を展開するベーカリーチェーンのPanera Breadからの個人情報漏えいが取り上げられていました。

www.itmedia.co.jp

■公式発表

  現在サイトを閉鎖している様で公式情報が見当たりませんでした。

 f:id:foxcafelate:20180408135434j:plain

事件の状況 
  • 米国の著名なセキュリティ専門家Braian Krebs氏が4/2にブログにてPanera BreadのWebサイトから利用者の顧客情報700万件が漏えいした可能性があると発表
  • 2017年8月2日からPaneraのサイトから個人情報を平文で取り出せた可能性があるとセキュリティリサーチャーDylan Houlihan氏が指摘
  • 漏えいした可能性のあるデータは、電話番号、メールアドレス、住所、会員番号、カードの下4桁
  • Dylan氏は8月初旬にPanera Breadに脆弱性を報告済みだったが、8ヶ月の間にアクションは取られてなかった
  • Panera BreadはFox Newsのインタビューに対し漏えいした可能性のある個人情報は1万件であるとコメントした模様。Krebsのブログ発表後、2時間で脆弱性を修正したとされているが、追加の脆弱指摘を受けて、サイトを閉鎖した模様
  • Paneraのケータリングサイトにも同様な脆弱性があり、最大で37百万人の顧客情報が影響を受けた可能性があると追加報道されている

 

◆キタきつねの所感

平文でデータ閲覧が出来たというのがどんなイメージが掴めなかったのですが、Krebs on Securityの記事中にサンプルが貼ってありました。(※下図、Krebs氏のBlog記事から引用します)

f:id:foxcafelate:20180408140458j:plain

この顧客情報は、オンラインショップであったり、店舗での(予約時間による)ピックアップに使われていたようですが、サイトURLを少し工夫すると(ログと推測されます)、デリバリー用の顧客データが平文で出てきてしまう実装で、自動ツールでこのデータが取得できる状態だったようです。

因みに、全米に非常に購読者の多いKrebs on Securityで記事に取り上げられて、、、2時間でPanera Breadは修正し始めた(色々なところでニュースになってしまいますから・・・)との事ですが、ケータリングサイトやログに残る脆弱点を追加指摘された結果、現在はサイトを閉鎖しているようです。

 

こうしたホワイトハッカー(リサーチャー)によるセキュリティ脆弱性の指摘は、一般的には企業にとって歓迎されるべきものだと思います。自社で気づけない脆弱性に対し、Microsoft、Line、任天堂等々、バグ報奨金を支払う企業も増えてきています。しかし今回のPanera Breadのケースでは、8月にセキュリティリサーチャーが(親切にも)警告メールを出していたにも関わらず、Panera Breadのセキュリティ担当者は、「8ヶ月何もしなかった」ようです。おそらく指摘事項の検証すらしなかったのでしょうが、結果として、企業としても個人としても高い代償を支払わされた、と言えるかも知れません。

 

尚、8ヶ月放置の担当者(Mike Gustavison氏)はPaneraの前にはEquifaxで働いていたようなので、事件を続けて経験する(引き起こした?)事になったようです。

直接のバグ内容は分かりませんが・・・Webのプログラム実装は脆弱であるとの前提で、定期的に(自社で)脆弱性診断をしていれば、もっと早くに脆弱点を気づけたのではないかなと思います。

 

 

パン屋さんのイラスト(女性)

 

更新履歴

  • 2018年4月8日PM(予約投稿)

オービッツはサードパーティ経由で情報漏えい

クレジットカード情報漏えい事件 海外事件 PCI DSS

Expedia傘下の旅行予約サイトのオービッツがハッキングを受け、最大88万件の決済データが漏えいした可能性があると発表しました。

www.travelvoice.jp

■公式発表

  INFORMATION ABOUT ORBITZ DATA SECURITY INCIDENT

事件の状況 
  • 旧ウェブサイトがハッキング被害を受け、最大88万件の決済カード情報が漏えいした疑い
  • 2016年1月1日~2017年12月22日に決済した顧客が影響
  • 氏名、住所、カード情報、誕生日、電話番号、メールアドレス、性別が漏えいした可能性(社会保障番号やパスポートは漏えいした形跡は無い)
  • (旧)システムに保管されていた顧客情報が影響を受けた
  • 2018年3月1日にオービッツは個人情報漏えいを把握
  • 事件はAmex Travelによる旅行予約のパートナーのプラットフォーム(予約エンジン)によって流出した可能性 (*The Verge記事より引用)

◆キタきつねの所感

Orbitzはどのプラットフォームパートナー企業経由で情報が漏れたかはっきり明示しなかったようなのですが、複数のニュースサイトが、当該のパートナー企業は『Amex』であると書いています。私のPCI DSSの知見では・・・Amexのセキュリティへの取り組みはしっかりしている、、(はず)と思っていたのですが、インターネットが複雑に接続される世の中では、しっかりしていない部分”も”あったのかも知れません。

旧サイトからデータが漏れた・・・というのも気になる所です。漏えいしたデータは2016年~2017年末ですが、3月1日にOrbitzがデータ漏えいに気づいたとあるので・・・旧サイトから新サイトへの移行後にも旧サイトにクレジットカード番号を含む個人情報が残っていた事については、責任を免れないと思います。

*普通は正常移行したらデータを消すべきですし、PCI DSS上は旧サイトにデータが残っている場合は・・監査スコープ内=保護対象に定義されます

 

今回の事件で最大の原因の1つはサードパーティ管理(コントロール)ではないでしょうか。旅行の予約エンジンの性質上、他社に機能開放するのは必要かとは思いますが、他社に提供していた『予約エンジン』が旧サイトにつながる設定になっていた事が、多量のデータを漏えいする原因となったと思われるだけに、新旧の機能切替、およびサードパーティサイトからの多量なデータダウンロードのリクエス(不自然な大量ダウンロードリクエストがあったのではないかと推測してます)についてOrbitz側はきちんと管理すべきだったのではないかと思います。

事件はまだフォレンジック調査も含めて調査継続中なので、次の発表があるまで分からない事ばかりではありますが、信頼できそうなAmexと言えども、容易に信頼しない・・・昨日の記事で書いた記憶がアリマスが・・・こうした仕組みづくりが必要なのだと思います。

 

 

参考:The Verge記事

www.theverge.com

個人情報漏洩のイラスト

 

更新履歴

  • 2018年4月8日PM(予約投稿)

信頼ネットワークは狙われている

海外事件 つぶやいてみた。

ロイターの3月29日記事に、マレーシア中央銀行がSwift経由の不正送金攻撃の試みを止めた件が報道されていました。

www.reuters.com

記事によると、不正送金の攻撃は3月27日に発生し、Swiftバンクメッセージネットワークに対し、不正送金のリクエストがあり、この事件による資金的な被害はなかったとの事。

Swiftを狙った攻撃は、2016年バングラディッシュ中央銀行がSwiftシステムに対するマルウェア侵害を受けて、フィリピンの口座へに81百万ドル送金をされてしまった件や、2017年にもロシアの銀行が339.5百万ルーブルを不正送金されてしまった事件が思い出されますが、

 

参考:

バングラデシュ中央銀行からの不正送金、カスタムメイドのマルウエアでSWIFTのソフトをハイジャック:Computerworld

 

直近では2月にもインドで事件が発生しています。

www.reuters.com 

今回の事件について、マレーシア中央銀行がどの様なセキュリティ対策で事件を防御できたのかは、「関係当局との連携」が功を奏したとしか程度にしか書かれていないのですが、

 

"The Bank is pleased to note that to-date all risk control measures in place are effective to curtail this incident," it says in a statement. "However, the Bank has taken additional safeguards to protect its stakeholders.

Finextra記事より引用

 

ステークホルダーのために更なるセーフガード(セキュリティ対策)を取った、との内容もありました。攻められた脆弱性に対する補強策であろうと推測しますが、防衛に成功したとしてもセキュリティ体制を見直す姿勢については日本企業も見習うべきかもしれません。

Swiftネットワークは2007年頃から構築されている国際的な通信システムですが、銀行同士のいわば『信頼ネットワーク(Trusted Network)』と言えます。セキュリティのしっかりした銀行が使うネットワークである性格上、今までは大きな事件はあまり発生してませんでしたが、2016年にバングラディッシュでの成功事例が出て以降、成功すると大きな金額窃取が見込めるとあって、不正攻撃が度々発生するようになってきました。

信頼ネットワークへの攻撃という観点では、閉域ネットワーク(POSシステム)への攻撃などもそうですし、サプライヤー攻撃なども信頼ネットワークへの、不正攻撃と言えます。そうした意味においては、信頼されている相手であってもきっちりと相手の身元を確認する(信頼しすぎない)事が必要な時代になってきていると言えそうです。

 

 

補足:Swiftとは銀行間の国際金融取引で使われるシステムで、海外送金をやられた方であれば馴染みが深いかも知れませんが、各銀行に振られたSwiftコード(例:みずほ銀行:MHCBJPJT、三井住友銀行:SMBCJPJT、三菱UFJ銀行BOTKJPJT)を使って決済が行われます。

www.zenginkyo.or.jp

 

 

通帳を見て青ざめる人のイラスト(男性)

 

更新履歴

  • 2018年4月8日PM(予約投稿)

ギャンブルと内部不正

つぶやいてみた。

日経BPの3月28日記事に、パチンコ店の不正に関する内容が出ていました。内部不正という意味で興味深かったので取り上げてみます。

business.nikkeibp.co.jp

べラジオ「サクラ」疑惑の概要

パチンコホールを運営するべラジオコーポレーションはべラジオ横堤店の店長を懲戒解雇した。当たりやすいスロットマシンの台情報を外部に漏洩し、その台を打った人が得た利益を折半した疑いが強まったためだ。きっかけは外部からの通報だったが、同様の情報がネット上で公開・拡散されたことで「サクラ」疑惑があるとして炎上した。

日経BP記事より引用)

 

少し映画オーシャンズシリーズを思い出しました。

  • 店長がスロットマシンの設定を不正に変更
  • どのスロットマシンが不正台かLINEで「サクラ」に知らせる
  • 不正台を確実に「サクラ」に打たせるために店長は不正台に故障貼紙
  • 換金後の利益は駐車場の指定車のトランクで受け渡す

なる程・・・この懲戒解雇された店長に対する、非公式なお仕置きがあったのか・・も気になる所ですが、サクラとの伝達手段がLINEである事以外は、古くからあるパターンを踏襲しています。

 

では、この不正事件が何故漏えいしたのか?

  • 匿名のメール(LINEのやり取り画像添付)
  • 駐車場の監視カメラに不審な行動が録画されていた
  • 遊戯データから、不正台や不審な行動を確認
  • 店内監視カメラで確認

きっかけは内部告発であり、サクラか店長のLINE画像にアクセス可能な身内・友人・知人といった親しい関係者のようです。監視カメラ・・・店長もアレだなと思うのが、この手の犯罪の場合監視カメラの録画データや、遊戯データのログから足が付きやすい事は知ってなかったのかという所です。

 

そう考えると、バレない事に自信を持っていたのかも知れません。

 

因みに、もし私が不正を行う側であれば、録画データや遊戯データログを消せないかをまず考えます。それが難しい場合(例えばオーナーしかアクセス権が無い)、足がつきやすい「駐車場」の監視カメラ外での受渡しを指示したと思います。

内部不正を検知すべき経営側は、店長が裏切る(可能性がある)、、という考え方に立ったセキュリティ対策を考えてないと、(内部告発がなければ)検知できなかった可能性が高いといえます。その前提の上で、もし対策を考えるとすると、、、監視カメラや遊戯データのログへのアクセス権限を2名運用にする事と、『故障の貼紙』を不正検知のきっかけにする事くらいでしょうか。

この事件では『故障貼紙』が重要な役目を果たしています。この貼紙がなければ、サクラではない他人がその台を使ってしまう可能性があり、不正を行う店長やサクラとしては、どうしてもその不正台を確保する必要があります。

遊戯台がそうしょっちゅう本当に故障しては”無い”はずなので、故障の貼紙は怪しいサインとして考えた運用、例えば開店前に巡回して「故障台」が本当に故障しているかを確認する(2名運用)。これだけで不正を行う店長をけん制できる気がします。

 

 

パチンコに熱中する人のイラスト

 

更新履歴

  • 2018年3月31日PM(予約投稿)

Saks Fifth AvenueのPOS侵害はフィッシングから?

海外事件 クレジットカード情報漏えい事件 調べてみた。 PCI DSS

米国のSaks Fifth Avenue等の高級百貨店を展開するHudson's Bay Company(HBC)が4月1日に米国の一部店舗で使われた決済カードデータが漏えいした件を発表しました。この件について少し調べてみました。

www.itmedia.co.jp

■公式発表

 Saks Fifth Avenue - FAQ

事件の状況 
  • 北米のSaks Fifth Avenue と Saks OFF 5th, Lord& Taylorの一部の店舗(現在判明している漏えいデータは、ニューヨーク州ニュージャージー州の店舗が大多数を占めている)から漏えいした
  • ハッキンググループJoker Stash(Fin7)が3月28日に500万件以上の盗んだクレジットカード・デビットカード情報を販売に出すと発表していた事から事件が発覚。セキュリティ会社が複数の金融機関と協力して調査した結果、HBCの店舗で使われたカード情報である事が判明。
  • 現時点では約12.5万件のデータがDarkWebで販売されている(Lord & Taylor全店、Saks Fifth Avenue83店舗)
  • 漏えい期間は2017年5月~3月末まで
  • eコマースプラットフォームは今回のデータ侵害の影響を受けていない
  • Gemini Advisoryによると店舗のキャッシュレジスター(POS)にソフトウェア(マルウェアが使われカードデータを抽出していた

インシデントタイムライン

日時 出来事
2017/3~2018/3末 NY州とNJ州のHBC傘下の店舗POSから500万件以上のカード情報が漏えいした疑い
2018/3/28 ハッキング集団JokerStash(Fin7)が500万件分のカード情報を売り出すと発表
2018/4/1

Gemini Advisoryが4/1ブログで事件を発表

(Saks Fifth AvenueとLord&Taylorからデータ漏えいした可能性が高いとの記事)
2018/4/1 HBCが事件を発表

 

◆キタきつねの所感

Saks Fifth Avenueと言えば、米国東海岸では有名なデパートチェーンです。日本人旅行客として利用した方も多いかも知れません。北米での小売業はICカード化が急速に進んでおり、セキュリティについてもPCI DSS対応している所が多いはずです。HBO傘下の侵害を受けたチェーンがどうだったかについては発表されていませんので、想像になりますが、平文での通信が残ってしまう磁気カードの決済データを狙われた可能性が一番高いかと思われます。

ICカード決済では、通信電文が暗号化される(はずな)ので、店舗POSからの磁気情報の盗み取りには非常に強く、セキュリティ性の高いPIN入力端末(PCI PTS)と併せて運用する事で、日本において同様の被害を受ける可能性は低くなります。

 

しかし、この事件では2つの観点から日本企業も同様な被害を(近い将来)受けてしまう可能性を強く感じました。

1つはマルウェアの特性です。現在ICカード対応を業界全体で進めている店舗POSですが、一部のPOSでは、完全な暗号化(P2PE)が実現できておらず、瞬間的にPOSのメモリ内に平文でカード情報が残る可能性があると言われています。今回の様なマルウェアは、RAMスクラッパーと言われるものが多く使われるため(当然別の対策はしているものとは思いますが)POSのメモリを狙ったマルウェアが店舗POSネットワークに入ってきてしまった場合には、カード情報を守りきれるか不安な部分を残している気がします。

 

 

もう1点つの懸念が、今回Saks Fifth Avenue等のHBO傘下のデパート店舗の『POSネットワーク網』にマルウェアが入り込んだ手口の部分です。こうしたPOS内部のネットワークは、一般的には閉域網(クローズドネットワーク)にする事が多いかと思います。多くの機器がネットワーク内に配置されているとパッチ管理等が難しくなる点もありますが、店舗POSをインターネットに直接見える状態に置くのは・・・やはり危険性が高いとの認識があるからと言えます。

今回、ダークウェブで盗んだクレジットカード/デビットカード情報を販売したのは、Joker Stash(Fin7)と報道されておりますが、非常に有名なハッキンググループです。米国証券取引委員会(SEC)、Whole Foods、Chipotle、Omni Hotels & Resorts、Trump Hotelsなどの攻撃にも成功しています。特に金融分野と小売、レストランチェーン等に対して過去には攻撃キャンペーンを仕掛けている事がセキュリティ企業でも観測されており、警戒記事もしばしば出ています。

 

参考:

www.fireeye.com

www.fireeye.com

このFin7が得意とする手法は・・・標的型攻撃(フィッシングメール)』です。ヤフーの記事には、このFin7の典型的な侵入手口として、請求書などのクリックを誘いやすいメールを企業の従業員、特に権限を持つ役職者に送付してマルウェア感染させる点が書かれていますが、複数の海外セキュリティ専門家の見立てでもフィッシングだったのではないか、と推測されています。

hackers' typical method is to send cleverly crafted phishing emails to company employees, especially managers, supervisors and other key decision-makers. Once an employee clicks on an attachment, which is often made to look like an invoice, the system gets infected.

Yahoo! Finance記事より、Gemini Advisoryの共同設立者Dmitry Chorineのコメントを引用)

標的型メールの添付ファイルを誰か従業員がクリックしてしまったであろう点は、まぁどこの企業でも問題と考えるかと思いますが、それ以外に何か問題があるの?」と思われる方もいらっしゃるかも知れません。

何が言いたいかと言うと、私は、閉域(であると思われる)POSネットワークに対して、『メール経由でどうやって侵入したか』という所に、隠れた脆弱性が眠っている気がするのです。

 

考えられる手法として・・例えば、

  • メールのネットワークと、POSネットワークが同じネットワークにあった(又はネットワーク分離が正しくなかった
  • メンテナンス等で使われる、外部からのリモート接続権限がメールを通じて盗まれた
  • POSベンダーを偽装してマルウェアが仕込まれたアップデートファイルをシステム管理者に配信し、不正プログラムをインストールさせた

などがあるかも知れませんが、いずれのパターンにおいてもメールから先の閉域ネットワークにたどり着くまでの企業側のセキュリティ実装に何か問題があったと考えられます。

実際どうやって侵入されたのかについては、あまり侵害を受けた企業は発表してくれませんので、直すべき脆弱性が分からないのは残念ですが、米国でのPOS侵害事件は未だ続いていることは間違いなく、そうした事件で攻撃側が得た経験、すなわち『脆弱性』は、日本の小売業に対する攻撃でも使われる可能性が高くなってきている、その認識を日本企業も強くもつべきかと思います。

1年間データ侵害に気づかない高級デパートのIT部門・・・日本でも同じという事はありませんよね?

 

デパート・百貨店のイラスト

 

更新履歴

  • 2018年4月8日PM(予約投稿)

 

スパムだけでないメールアドレス漏えいの影響

つぶやいてみた。

ビジネス+ITの3月19日記事に役に立ちそうなサイト情報がありました。

www.sbbit.jp

下記のサイト(Have I Been Pwned)が自分のメールアドレスが過去に商用サイトから漏えいしたメールアドレスかどうか判別してくれます(漏えいしている情報を元にしたDBを構築しています)。

 

haveibeenpwned.com

こうした漏えい情報の合計(※記事記載時)は、このサイトだけで275サイト、49.5億件にものぼります。

f:id:foxcafelate:20180331162407j:plain

過去に大型な情報漏えいを起こしたサイトといえば、マイスペース、ヤフー、Adobeなどが有名ですが・・・意外に下位にランクされています。

f:id:foxcafelate:20180331162155j:plain

 

私も調べてみたのですが・・・プライベートのメールアドレスが1サイトでひっかかったという結果に・・・全然気づいてませんでした。

f:id:foxcafelate:20180331162641j:plain

 

ちなみに会社のアドレスは問題なし。

f:id:foxcafelate:20180331162719j:plain

 

このサイトにて漏えいしていたと言われたメールアドレスも、実際にはパスワードまでセットで漏れたかまでは分かりません。パスワード変更した方がより安全であるとは思いますが、その辺りは漏えいしたメールアドレスの重要度(フリーのメアドなら捨てるという手もありますし・・)を考慮して決めても良いのかと思います。

海外で名刺を交換・あるいは企業ブースにて投函(してiPadの抽選!に外れたケース)、する場合など、やはり海外起点では、結構そのあとにスパムメールが増えたりします。とは言え企業サイトの漏えいメールアドレスは全世界で50億件を軽く超えているわけですので、対面より非対面で”メールアドレスは漏れる”前提で(個人の)セキュリティを考える必要があるのだと思います。

IDとパスワードが漏れると様々な情報漏えい被害を受ける可能性がありますが、片方(ID=メアド)は既に漏れているという仮定であれば、重要なサイトでのパスワード使いまわしは危険である事は言うまでもありません。

しかし最近それ以上に問題だと思うのが、(そんなに個人では実害が無いかも知れない)漏えいしたメールアドレスが、ビックデータの紐付けコードとなってしまう事です。

 

例えば、以下の情報がDarkWebにあったとして、

  • Aサイト   メールアドレス、趣味
  • Bサイト   メールアドレス、氏名
  • SNSサイトC メールアドレス、ハンドルネーム
  • SNSサイトD ハンドルネーム、 都道府県名、生年月日

メールアドレスを紐付けキーにすると、4サイトから「メールアドレス、氏名、生年月日、ハンドルネーム、都道府県名」の情報を紐づけて取り出す事ができるかも知れません。SNSにアップされた写真から導きだせるヒントがあれば、更に細かい情報を入手する事もできるでしょう。場合によっては生年月日や趣味からパスワードが類推できるかも知れません。

DarkWebに溢れるビックデータを『分析して』出てきた個人(プロファイル)情報が、どのくらいの価値になるのかは、その個人が持つ資産価値によりますが、例えばその個人が、『標的型攻撃の対象』となりえる場合、攻撃の成功率はかなり高くなると推測されます。

 

多くの方にとって、たかがメールアドレスではあるかも知れません。しかしそれをキーとした攻撃が懸念される状況であるならば(例えば上記のサイトでいくつものサイトで”漏れている”と判定される場合)思い切ってメールアドレスを変更してしまう、そんな対策も考えておくべきなのかも知れません。

 

ウイルスに感染したEメールのイラスト

 

更新履歴

  • 2018年3月31日PM(予約投稿)

ガスメータの集中管理

つぶやいてみた。

新しいマンション(賃借)が建っていたので、最近のマンションは綺麗だなぁと見ていたのですが、ガスメーターがこんな感じになっていました。

f:id:foxcafelate:20180331165912j:plain

検針する方々(いつもお疲れ様です)にとっては楽だろうなぁ、と思った反面、道路に面している所にこのメータ群が設置されていたので、例えば泥棒で入ろうと思う場合は、どこの家が(ガスメータが回っているので)有人である、、、というのは一目瞭然だと気づきました。

電気メータ程には”生活実態”の把握は難しいでしょうが、メータ数字を覚えて置けば、海外旅行に出て長期不在の場合は分かってしまうかも知れないな・・・と変な所が気になってしまいました。

せめて道路から直接見えないようにフェンスで隠すとか、裏口の方に置くとか・・・

 

こうした集中管理は、検針(管理)側から見て正しいことではありますが、それがユーザ側から見ても正しいかどうかは、その環境をしっかりと考えてみる必要がありそうです。

 

 

 ガス代の請求書のイラスト

 

更新履歴

  • 2018年3月31日PM(予約投稿)