Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

ウーバーが5700万人の個人情報を不正流出した事件をまとめてみた(再更新)

2017年11月21日、米国配車サービス大手のウーバー・テクノロジーズブルームバーグに対し昨年10月のハッカー攻撃により顧客とドライバー合わせて5700万人の個人情報が流出していたことを明らかにしました。この関連情報をまとめてみます。

インシデントタイムライン

日時

出来事

2016年10

ハッカーにより57百万件の顧客とドライバー情報(60万人分の米国ドライバーライセンス情報含む)が不正流出

 (不明)

CSOジョー・サリバン氏氏、およびセキュリティチームはインシデントを隠蔽

 (サリバン氏は連邦検事からFacebookを経てUberに参画 (*9))

データ消去や情報流出を内密にすることと引き換えに、ハッカー(米フロリダの男性20歳)に対しバグ報奨金制度(バグ・バウンティプログラム)を通じて10万ドルを支払い (*15)

当時のCEOトラビス・カラニックは、11月に事件を把握 (*6)

 2017年8月29日

新CEO ダラ・コシャス(Dara Khosrowshahi)氏が就任 

(前CEOは創業者のトラビス・カラニック氏)

 2017年11月21日

ブルームバーグに対し、事件発生を明らかにした

ダラ・コシャスCEOが自社のBlogにて事件を発表 (*1)

(事件の責任で、2名のセキュリティ担当幹部の解任も発表された)

 この事件についてダラ・コシャスCEOは「最近知ったばかり」(*5)

 

公式発表

 原因

Here’s how the hack went down: Two attackers accessed a private GitHub coding site used by Uber software engineers and then used login credentials they obtained there to access data stored on an Amazon Web Services account that handled computing tasks for the company. From there, the hackers discovered an archive of rider and driver information. Later, they emailed Uber asking for money, according to the company. Bloomberg記事 (*11)
  • Uberが利用する外部のクラウドサービスに不正アクセスがあり、データを窃取された(*3)
  • 2人のハッカーUberエンジニアたちが使っていたプライベートの「GitHub」に侵入し、AWSアカウントのログイン情報を入手し、Uberがユーザデータを管理しているAWSに侵入してデータをダウンロードし、Uberにメールで金を要求 (*7) (*8) (*10)

  • UberGitHubの開発者のプライベートアカウントが侵害を受けたのかについて説明していないが、Rapid7のKyle Flahertyは「おそらく何らかの不注意」だろう (*13)
  • Bloombergによれば、Uberの開発者2名はGitHubに同社のデータストアの情報を隠し持っていた (*13)
  • GitHubはデータ侵害は(GitHub)のセキュリティミスによるものではないと発表 (*13)

 

事件発覚の経緯
  • 取締役会にて10月にサリバン氏のセキュリティチームの活動に対する調査を外部委託し、法律事務所が実施したこの調査により、昨年のハッキングと被害隠しが判明 (*12)

事件の状況 
  • 全世界5700万人の個人情報(5000万人の利用者と700万人の登録ドライバー情報)

    ※内、米国のドライバーライセンス情報60万人を含む

   ・氏名

   ・メールアドレス

   ・携帯電話番号

    ※乗車の位置情報履歴、クレジットカード番号、銀行口座番号、社会保障番号

     生年月日の流出は確認されておらず(外部セキュリティ会社調査の結果)

  • ダラ・コシャスCEO「当時、ハッカーの正体を突き止め、盗んだデータを消去するとの確約を取り付けた」 (*4)

対応策

  • 事件の認知後ただちにデータを保護し、不正アクセスを遮断 (*3)

  • 2016年11月にはクラウドストレージへのアクセス制限や管理などの対策を完了 (*3) 

  • 影響を受けたアカウントの監視 (*1')

  • 国家安全保障局NSA)の国家テロ対策センターの元顧問マット・オルセンの協力の下、セキュリティ規約を作成し、セキュリティチームとプロセスの再構築を実施 (*3) (*10)

業績への影響

  • 7~9月期業績で赤字幅が14億6000万ドル(約1600億円)で販促コストが膨らんだ影響だけでなく、法令順守の甘さから頻発する様々な訴訟コストも経営の重荷になった (*14)

 

◆キタきつねの所感

Uberお前もか、、、という所でしょうか。FinTechの旗手ともいえるUberですが、セキュリティであったり個人情報保護の部分は急成長に追いつかなかったのかと思います。問題となるのは、前CEOや前CSO時代には事件を隠蔽しようとしていたとしか考えられません。恐らくこの件でUberは訴訟を多く抱える事になるでしょう。FinTech企業は(セキュリティ系のベンチャーでない限り)セキュリティ意識が薄いところも多いと漏れ伝えききますが、この事件を教訓に、「セキュリティは、リーン(そぎ落とし)してはいけない機能である」事を今一度考えるべきだと思います。

事件を1年隠蔽したことに関しては、ある意味「成功していた」と言えます。しかし新CEOになって事件を発表した、という事の背景には、やはり社内体質がこのままでは良く無いと思う何かがあったのだろうと推測します。

そして最終的に狙われたのが、GitHub経由でAWS。この件に関しては、Uberほどの重要資産(個人情報)を抱えている企業であれば、外部からの管理者アクセスについては、多要素認証が必要と早い段階から気づくべきだったのかと思います。PCI DSSでは、以下の様な規定があります。今回の場合だと、こうした考え方でセキュリティ設計が出来ていれば、ギリギリ防げたのではないでしょうか。

8.3.1 
管理アクセス権限を持つ担当者のすべてのコンソール以外のCDEへの管理アクセスに多要素認証を組み込む。
8.3.2
ネットワーク外部からのネットワークへのリモートアクセスすべてに(ユーザと管理者、サポートやメンテナンス用の第三者のアクセスを含む)多要素認証を組み込む。

 

 

どうでも良い所で、調査中に気になったのは・・・公式発表(Blog)のページから・・・

f:id:foxcafelate:20171123182002j:plain

 

リンクを踏んでみると・・・

 

f:id:foxcafelate:20171123182005j:plain

日本語ページにはたどり着けなかったという事。。。仕方無いので原文(英語)を読むことに・・・

 

 

関連ニュース記事

 *1 2016 Data Security Incident Uber blog

 *1' 2016 年に発生したデータの安全性に関わる問題についての情報 Uber blog

 *2 米Uber、5700万件の個人情報流出を1年間公表せず。既にハッカーには身代金を支払い済み MdN

 *3 Uberが5700万の個人情報を漏洩、1年間知らせず ITpro

 *4 ウーバー、顧客5700万人の情報流出 当局に報告せず CNN.co.jp

 *5 ウーバーから個人情報5700万件漏えい 1年隠ぺい、ハッカーに金銭払う AFPBB News

 *6 ウーバー、5700万人の個人情報流出を隠蔽 東亜日報

 *7 Uberの新CEO、昨年の大規模情報漏えいをざんげし、隠ぺいした幹部を解雇 ITmedia NEWS

 *8 ウーバー、個人情報5700万件流出のハッキング被害を隠匿 BBC

 *9 Uberが5700万人の乗客・ドライバーの個人情報を流出させてハッカーに金を払っていた件が明るみに Gigazine

 *10 Uberは2016年にデータ漏洩事件を起こし、5700万人の乗客とドライバーが影響を受けていた techcrunch

 *11 Uber Paid Hackers to Delete Stolen Data on 57 Million People Bloomberg

 *12 米ウーバー、ハッキング被害隠し-5700万人の個人情報流出 Bloomberg

 *13 AP Explains: What the Uber data breach is all about abc NEWS

 *14 米ウーバー、7~9月赤字拡大 不祥事も響き企業価値低下 日本経済新聞

 *15 米ウーバー、情報流出隠ぺいの背後にフロリダ州男性=関係筋 Reuters

  

f:id:foxcafelate:20171210154231j:plain

 

  更新履歴

  • 2017年11月23日 PM 新規作成
  • 2017年11月24日 AM 事件経緯を追記

  • 2017年12月1日 PM abcNEWS記事内容、日経記事内容を追記
  • 2017年12月10日 PM Reuters記事を追記