Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

九州商船の不正アクセス事件について調べてみた。

1月9日に九州商船がインターネット予約サイトのWEBサーバが不正アクセスを受けたと発表した件について、つぶやいてみます。

this.kiji.is

公式発表

 

インシデントタイムライン

日時 出来事
2017年8月~12月 外部への不正通信が複数回発生
2017年12月25日 ストライキ全日本海員組合)で終日欠航 ※26日に運行再開
2017年12月25日15時29分頃 不正なファイルが設置
(12月25日~1月5日) 外部への不正通信
2018年1月5日 予約サイト会員から「サイトがつながりにくい」などの問い合わせを受ける
インターネット予約が繋がりにくい事態を確認
委託先システム会社に連絡
2018年1月9日 インターネット予約サービスの停止
事件を公表
 
事件の状況 
  • インターネット予約の会員情報(会員と元会員)73,829名の個人情報が外部からの不正アクセスにより流出したおそれ(不正利用等の二次被害が確認されておらず)
  • 流出した可能性のある個人情報
    • 氏名/住所/電話番号/生年月日/性別/メールアドレス/会員ID/パスワード
       (※クレジットカード情報は含まれず)

 

原因

 

再発防止策

  • 不正アクセスが発生したサーバを停止し、代替サーバの運用準備中
  • 会員へのパスワード変更依頼(パスワードを使いまわしている場合)

 

◆キタきつねの所感

偶然かも知れませんが、不正アクセスが発生した日は、ストライキが発生した日であったため、不正検知が遅れた(システム担当が手薄だった)、あるいはストライキを知っていて狙われた可能性もあるかと思います。

 

ogihima.at.webry.info

事件情報を調べていて、上記放浪者の平日」ブログにて、”お客様情報漏えいの恐れ”について九州商船からメール連絡を受けた会員の方の記事があり、気になった点があります。

九州商船は、長崎・佐世保五島列島を結ぶ航路の運営船会社です。
ワタクシが利用したのは、2006年の五島巡り。
その際の高速船の予約の為に登録しまして、
使ったのは、それっきりなんです。
10年以上も前に1回だけ使ったデータが残っていて、良くも悪くも活用されちゃうのですね。。

情報漏えい(の可能性がある)事件において、7万件というのはまずまずの漏えい規模です。10年前の情報がDBに残っていたとすると、九州商船インターネット予約会員として過去に利用した人がすべて残っており、それが全て漏えいした可能性が高いのではないでしょうか。

乱暴な言い方ですが、元会員の個人情報を10年保存しておく必要性があったのでしょうか

恐らくデータ削除ポリシーが無かった、又はそうしたメンテナンス指示が九州商船から委託先システム会社に無かったので、データは永遠と蓄積されたのかと推測しますが、必要が無いデータをDBに置いておくリスクについて、九州商船は考えるべきだったと思います。

 

さらに、今回の事件(の可能性に)気づいたのは、会員(利用者)になりますが、長崎新聞の記事によると、

個人情報を抜き取る目的とみられる不正アクセスが昨年8~12月に複数回あった。

12月25日には予約をできなくするタイプの不正なファイルも設置されていた。

長崎新聞記事より引用)

と、サービス(WEB予約)妨害をする事を目的とした不正ファイルがあったので、事件が発覚しただけであり、8月~12月の不正アクセスは、まったく運営側が気づいていません。事件の詳細が分かってないのでゼロディ攻撃で不可避だった可能性もありますが、個人情報を預かるサービス運営者としては、セキュリティ対策が甘かったのではないかと考えます。

第一報で個人情報漏えいまで把握できてない点、再発防止策にIDS/IPS/WAF等々の機器導入であったり、SOCが入ってませんので、元々狙われたWebサーバの脆弱性(どうやってシステム内部に入りこまれたのか?)次第ではあるのでしょうが、代替WEBサーバを単に立てただけであれば、残念ながらまた攻撃を受ける可能性が高いと思います。

 

水中翼船・ハイドロフォイルのイラスト

 

更新履歴

  • 2018年1月11日 PM(予約投稿)