Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

幻冬舎の不正アクセスを考えてみた。

1月15日に幻冬舎不正アクセスにより会員情報9.3万件が流出したおそれがあると発表しました。この件について考えてみました。

f:id:foxcafelate:20180127065839j:plain

■公式発表 

 不正アクセスによる会員情報の流出に関するご報告とお詫び | 株式会社 幻冬舎

 

インシデントタイムライン

日時 出来事
2017年3月30日 システム開発/サーバ管理会社がシステムをバージョンアップ(脆弱性が発生)
2017年7月16日~ 不正アクセスの痕跡が認められた(7月16日以前はログが保存されておらず)
2017年8月18日 サイトのパフォーマンス低下を調査(脆弱性を発見・対応実施)
2017年12月28日 会員から幻冬舎Plusの会員登録の際に入力したメールアドレス宛にフィッシングメールが届いたとの報告を受ける
  サーバログ等を調査
2018年1月15日 事件を発表

 

事件の状況 
  • 2013年11月12日~2017年8月18日までに会員登録した最大93,014件の個人情報が不正アクセスにより外部に漏えいした疑い
  • 流出した可能性のある個人情報
    • メールアドレス
    • ユーザID
    • 会員氏名(読み仮名含む)

原因

  • システム開発およびサーバ管理を委託している外部の協力会社が2017年3月30日に実施したシステムバージョンアップの際に脆弱性が発生し、8月18日にパフォーマンス低下の調査時に脆弱性を発見し対処するまでに不正アクセスが発生した

再発防止策

  • 2017年8月18日に脆弱性のある部分は修正されていますが、改めて第三者のセキュリティ調査会社に協力をいただき、セキュリティの強化と安全性の確保に努めてまいります。(幻冬舎リリースより引用) 

 

◆キタきつねの所感

暇だったので 少し時間が取れたので、調査してみたのですが、この事件を調べていると不思議に思う点が何点かありました。最初にお断りしておかなければならないのは、1月15日以降 幻冬舎からの公式発表が出ていませんので下記は相当推測内容を含みます。

まず疑問に思ったのが、漏えいしている会員情報の『範囲』が狭いことです。幻冬舎plusの会員登録ページを見ると、登録事項は「氏名」「フリガナ」「ユーザID」「パスワード」「メールアドレス」「生年月日」「性別」となっています。

一方で今回漏えいした情報は、「氏名」「フリガナ」「ユーザID」「メールアドレス」であり、「パスワード」「生年月日」が含まれていません。

f:id:foxcafelate:20180127071221j:plain

つまり、この差分は、幻冬舎plus自身が管理する会員DBが襲われた訳ではない事を示していそうです。今回被害を受けたサイトは、幻冬舎(本体)ではなく、著名人が執筆するWEBマガジンと電子書籍が購入できる電子書店が融合したWEBサイトの「幻冬舎Plus」です。その基幹システムは事件のリリースにもありましたが、『弊社がシステム開発およびサーバー管理を委託している外部の協力会社』が委託管理しています。

通常こうした個人情報漏えい事件が発生した際は、協力会社の名前が出てくる事が多いのですが、、今回は名前が一切出ていません。非公開の理由は幻冬舎にしか分からないのですが、推測できる理由としては、その会社の名前を公開すると『他への影響が大きいから』という事か、(委託先が)規模が小さな会社なので公表する事によって『経営が揺らぐ』可能性がある、といった事が考えられます。

 

何かしっくりこなかったので、少し調べてみました。。。

 

幻冬舎Plusが使っていた電子書籍購入機能を持つシステムは、採用実績のところを見ると、『幻冬舎plus』と記載がありるので、おそらくこちらの会社のシステムを使っているものと思われます。

 

f:id:foxcafelate:20180127080113j:plain

このシステムが不正アクセスを受けたとすれば、多くの他サービスも同じ仕組みを使っている訳ですので、当然同じ脆弱性を抱えていたと推測される事から、『そちらは問題なかったのか?』と余計なユーザや関係者の不安を煽ることから、具体的な名前を幻冬舎がリリースに書かなかった、そうした可能性を感じます。

 

システム概要を見てみると、

f:id:foxcafelate:20180127075932j:plain

 

ShopサーバとBookサーバの2つの機能を持ち、API連携で動くサービスを提供しているようですので、幻冬舎本体の会員DBではなく、Bookサーバへ必要なアクセス権限を保管しているサーバ(おそらくShopサーバ)が不正アクセスを受けたのかと思います。

 

その他、気になった所を簡潔に。。。

 

2017年8月18日に当サイトのパフォーマンス低下を検知し調査した際にこの脆弱性が発見され、即時対策が施されたものの、その際に脆弱性が発生した期間に対しての協力会社による不正アクセスの調査が当時実施されず、その時点では不正アクセスが認識できておりませんでした。(幻冬舎リリースより引用) 

外部の委託会社は・・・得意先(幻冬舎等々)の重要な顧客情報を預かっているという意識に欠けているのではないでしょうか。パフォーマンス低下で調査をして、脆弱性を発見してパッチ当てて終了。。。というのはパフォーマンス低下の原因を安易に機器交換やシステム増強で単純に対応して原因調査をきちんとしてなかったのではないでしょうか。あるいは委託会社にセキュリティ知見が無かったという可能性もありますが、そうした会社は、厳しい言い方をすれば、個人情報を預かるシステム(サービス)を他社に提供すべきではないのではないでしょうか。

 

今回の調査で改めてサーバーのログを解析したところ、サーバーのログを保存していた2017年7月16日以降でメールアドレスに対する不正アクセスの痕跡が認められました。

これより前の期間はサーバーのログが保存されていないため不正アクセスがあったかどうか不明ですが、(幻冬舎リリースより引用) 

この点も気になりました。ログの保管期間に関するものです。システムのログ保管容量等の問題はあるとは思いますが、ログサーバに集約するなどして、ログはせめて1年程度は残しておくべきではないでしょうか。(以下PCI DSS規定を参考まで)

PCI DSS要件10.7

監査証跡の履歴を少なくとも 1 年間保持する。少なくとも 3 カ月はすぐに分析できる状態にしておく(オンライン、アーカイブ、バックアップから復元可能など)。

 

最後は幻冬舎の再発防止策、、セキュリティ調査会社(プロ)のご指導内容によるとは思いますが、今回の件はサードパーティ(委託先)管理の問題だと思います。

4.再発防止策
2017年8月18日に脆弱性のある部分は修正されていますが、改めて第三者のセキュリティ調査会社に協力をいただき、セキュリティの強化と安全性の確保に努めてまいります。

委託先のセキュリティは、自社の管理下ではありませんので、セキュリティ強化と安全性確保をきちんと幻冬社側から要求する事が必要なのではないでしょうか?顧客からの要請(インプット情報:但し要求するには対価が必要な場合も)が無いと、今回のような事件が発生するまでなかなかセキュリティは向上してこないと思います。

 

プライバシーポリシーに記載がある事を、有言実行するためには色々と(セキュリティ調査会社が?)考えることがある気がします。

www.gentosha.jp

(3)個人情報の管理について
収集した個人情報は、当社が厳正な管理下で安全に取扱います

 

こき使われる作家のイラスト

 

更新履歴

  • 2018年1月27日 AM(予約投稿)