Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

GMOペパボのクレジットカード情報漏えい事件について考えてみた。

1月26日、GMOペパボが運営する「カラーミーショップ」が不正アクセスを受けネットショップオーナーおよび購入者の個人情報が漏えいした件を発表しました。この件について考えてみます。

 

f:id:foxcafelate:20180127085934j:plain

 

インシデントタイムライン

日時 出来事
2018年1月7日 サーバの異常検知し調査を実施した所、外部から設置された不正プログラムを発見
脆弱性を改修
緊急対策本部を設置
2018年1月8日 外部のセキュリティ専門機関に相談
セキュリティ診断アプリでチェック実施
2018年1月9日 セキュリティ対策ソフトウェアを設置しチェックを実施
個人情報漏えいの可能性がある事が判明
関係省庁へ報告
2018年1月10日 クレジットカード各社へ報告
フォレンジック専門機関2社が調査開始
2018年1月11日 当該サービスのクレジットカード新規申し込みを停止
~2018年1月22日 全てのショップオーナーのパスワードリセットを完了
2018年1月25日 フォレンジック調査結果を受領
2018年1月26日 再発防止委員会を設置
事件を発表

 

■公式発表 

 「カラーミーショップ」における情報流出に関するご報告とお詫び

 「再発防止委員会」の設置について

事件の状況 
  • 2017年3月16日~2018年1月7日にクレジットカード支払いをしたショップオーナー最大9,430件が不正アクセスを受け不正閲覧された可能性。

 <ショップオーナー>

  • カード番号のみ流出:22件
  • カード番号・カード有効期限・カード名義人名・セキュリティコード:最大 7,259件
  • カード番号・カード有効期限・カード名義人名:最大 337件
  • カード番号・カード有効期限:最大 1,834件

<ネットショップ購入者>

  • カード番号・カード有効期限・カード名義人名・セキュリティコード:最大 4件
  • カード番号・カード有効期限・カード名義人名:最大 1,902件
  • カード番号・カード有効期限・セキュリティコード:最大 481件
  • カード番号・カード有効期限:最大 141件
  • カード番号:最大 183件

 

原因

再発防止策

  • 侵入経路遮断
  • 悪用されたアプリケーションの機能停止
  • 再発防止委員会の設置(外部専門家含む)
  • 全サービスのセキュリティ強化

◆キタきつねの所感

本件については、かなり詳しくGMOのリリース記事に内容記載があるので、そちらを見た方が色々と参考になる所があるかと思います。昨年3月にGMOペイメントゲートウェイがApache Struts2の脆弱性を突かれて大型事件を起こした時にも感じたのですが、事件のリリースあるいは事件報告書として(それでも隠しているのでしょうが)他者のお手本になる程、情報公開をされています。

 

※まだ読まれた事の無い方には、是非昨年3月のGMO(PG)事件の報告書はインシデント対応(の際に考える事)の教科書として一読される事をお勧めします。

今回の事件も、時系列が細かく事件のリリースに記載があるのですが、非常に早い対応です。前回の事件を受けて更にインシデントレスポンス体制が良くなっている(トップダウンもあるのでしょうが)と思います。GMOはCSIRTが無かったかと思いますが、CSIRT以上の事件対応が出来ているところは、他社にも非常に参考になるところがあるのではないでしょうか。

緊急対策本部が事件漏えいに気づいた同日に設置されている点や、タイムラインでの”時刻表示”に見える情報開示姿勢については、正直この手のリリースでは見たことがありません。

 

しかし1年以内に2回クレジットカード情報漏えい事件を起こしていることについては、問題があったと言うべきかと思います。情報漏えい内容についても、セキュリティコードが漏れている事については、漏えい対象が数ヶ月分以上のクレジット決済を行った方である事も含めて考えると、自社で(決済承認後には)不要の情報を保存していた事に他ならないかと思われます。PCI DSSの観点で言えば実装ミスであると言えます。

機密認証データは承認後、たとえ暗号化していても保存してはなりませんこれは環境内に PAN がない場合にも当てはまります。

※機密認証データには、以下の情報が含まれます。

・フルトラックデータ(磁気ストライプデータまたはチップ上の同等データ)
CAV2/CVC2/CVV2/CID (←ここがセキュリティコードに該当します)
・PIN または PIN ブロック

 (PCI DSS適用性情報より引用)

 

GMO(PG)は、クレジットカード情報非保持のソリューションを数多くのEC加盟店に提供しています。会社は違いますがGMOグループとしての今回の事件を発生させてしまったことについては、脇が甘かったと言われても仕方ないのではないでしょうか。

恐らくグループ全体としては、あまりにも幅広いサービスを展開されていて、手が廻らなかったのだろうとは思いますが、

弊社では、このたびの事態を厳粛に受け止め、全サービスのセキュリティ強化と再発防止に取り組むとともに、調査結果を踏まえ、再発防止委員会を中心に対策を講じ、信頼の回復に努めてまいります。(事件リリースより引用)

事件リリースにある『全サービス』はおそらく、今回事件を起こしたGMOペパボの全サービス」という意味だと思われます。それはそれで重要な事ではあるとは思うのですが、

外部から狙われやすいクレジットカード情報を抱える、GMOグループ全体のサービスを総点検しなければ、また違うサービスで事件が発生してしまうことを懸念します。折角、非保持の良いサービスをGMO-PGが提供しているのですから、この事件を機会にそちらに一斉に寄せる事も有益なのではないかな、と思います。

 

 

f:id:foxcafelate:20180127085926j:plain

更新履歴

  • 2018年1月27日 AM(予約投稿)