Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

SAMURAI&J PARTNERS(UML教育研究所)の不正アクセス事件を考えてみた。

ソフトウェア開発を行うSAMURAI&J PARTNERSのWEBサーバが不正アクセスを受け個人情報31件を流出したと共に、「@sajp.co.jp」ドメインが不正利用され、迷惑メールが大量に送信された可能性がある事を発表しました。この件について考えてみます。

www.sajp.co.jp

公式発表

 

インシデントタイムライン

日時 出来事
2018年1月8日 サーバの警告
サーバー監視会社にて外部より不正アクセスの形跡があったと報告を受ける
2018年1月9日 サーバーへの強固な認証システム導入および不正アクセスの監視強化対策対応完了
サーバーの再稼動
2018年1月11日 事件を公表

 

事件の状況 
  • メールアドレスのドメイン「@sajp.co.jp」にて短時間に大量のメールを発送
  • UML教育研究所の顧客情報への不正アクセスにより、2017年5月以降に問い合わせを実施した、又は受験のためにバウチャー等の購入を行った31名の個人情報が流出した可能性
  • 流出した可能性のある個人情報
    • 氏名/会社名/部署/役職/住所/電話番号及びメールアドレス

原因

  • WEBサーバへの外部からの不正アクセス(侵入経路及び影響範囲は調査中)

 

再発防止策

 

◆キタきつねの所感

SOCで外部監視をしていたから、非常に早く検知が出来たということでしょうか。

個人情報の閲覧(漏えい)も問い合わせフォームのものに限られているようなので、攻撃者が不正にシステムに侵入後に、様子見でシステム内を価値ある情報(例:クレジット情報や管理者権限が分かるような資料)がないか探していた際の閲覧ではないかと推測します。結果として、あまり良い情報が無さそうだったので、迷惑メールの踏み台を選択した、という可能性が考えられます。

攻撃としては迷惑メールの踏み台として大量のメール送信には成功していますが、すぐに止められています。これは通信量(メール)が急激に増えたので自社検知できた可能性が高く、個人情報の閲覧程度であれば気づかなかったのかも知れません。

 

リリース内容の、再発防止策(対策)の部分を見て、ちょっと気になる所がありました。

サーバーに対しより強固な認証システムの導入及び、不正アクセスの監視強化といった対策を依頼しており、1月9日(火)10時に対応完了した旨の連絡を受け、サーバーを再稼働しております。

まず最初に突っ込むところは、「サーバー」に依頼すると対策してくれるのか?・・・という部分ですが、人工知能が搭載されたWEBサーバなるものは、まだ無いと思いますので、恐らく『サーバ運営委託先会社』という意味になるのだと思います。(正式リリース文はよく文言を推敲する必要があるのでは・・・)

だとするとSOCと運営会社は同じ会社なのかな、、と推測されるのですが、私が気になったのが『強固な認証システムの導入』なるものが、ほぼ1日で導入完了しています。そんな簡単に導入できるとすると、Cloudでシステム構築をしていて、オプションの認証強化を追加した・・位しか、そのスピード感が出ない気がします。

パスワードを長くて複雑なものに変えた・・・だと認証システムの導入とは言えないと思いますので、新しい認証機能(FIDO等の生体認証だったり、ICカードだったり、SSL証明書辺りでしょうか)が有効な対策であるのかが気になるところです。

 

いずれにせよ、脆弱性を突かれたのは(パッチ当てのミスがあれば)責められるべきですが、防御フェイズ以降の、検知/対応/復旧フェイズが早かった(個社としてはかなり良い事故対応をした)のではないでしょうか。

 

 

ハッカー・ネットワーク犯罪のイラスト(セキュリティー)

 

 

更新履歴

  • 2018年1月13日 AM(予約投稿)
  • 2018年1月22日PM (リンクミスを修正)