Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

Swisscomのデータ流出事件をしらべてみた。

スイス通信大手のSwisscomの顧客データが昨年秋に80万件の顧客情報を漏えいしたと2/7に発表しました。この件について書いてみます。

www.tripwire.com

◆キタきつねの注釈

Swisscomはスイス大手の通信キャリアで、Wikipediaによれば51%の株はスイス連邦政府が持っているという事なので日本で言うとNTTドコモの様な企業と言えるかと思います。スイス国内での携帯電話契約数は663.7万件。スイスの人口が837万人ですのでシェア約8割を誇るリーディングカンパニーです。

人口や契約ベースで考えると、「スイス人口の1割の個人情報が漏えい!」であり、「Swisscom契約数の12%が流出!」となる訳で、多くの海外メディアがこの事件を取り上げています。

しかし、この辺りが日本の感度が弱い所だと思うのですが、この記事を書いている2/11時点では(公式発表から4日後)、日本メディアがこの発表を取り上げる”気配がありません”。つまり海外ニュースを追いかけている一部のセキュリティ専門家の方々以外は知らずに終わってしまう事件になりそうなのです。

単純比較すべきものではありませんが、この事件を例えばNTTドコモの契約数(7,484万件)に置き換えて例えるならば、約900万件の個人情報流出事件・・・したこと無いとはいえない規模に見えてきませんでしょうか?

 

 

■公式発表

 Swisscom tightens security for customer information | Swisscom

事件の状況 
  • 2017年秋に、業務活動チェック実施時に異常を検知し詳細内部調査を実施した所、販売パートナーの権限を不正に利用され、最大80万件の個人情報が漏えいした可能性が判明した
  • 流出した可能性のある個人情報
    • 氏名
    • 住所
    • 電話番号
    • 生年月日

原因

  • 正規のアクセス権を持つ販売パートナー企業(非公開)の特定ユーザのログイン権限(ID/パスワード)を不正に利用されたため

再発防止策

  • パートナー企業のアクセスに対し、更に厳しい制限をかけ、通常活動でないと判断された場合は自動的にアラームを発し、アクセスをブロックする
  • 将来は、全ての顧客情報に対する多量の問い合わせをさせない仕組みに変える
  • 更に加えて、2018年に販売パートナーからの全てのデータアクセスに対して2要素認証を導入する

 

◆キタきつねの(事件自体に対する)所感

日経の2/11記事に「サプライチェーン型攻撃」という内容がありましたが、まさにこの事件もそれに当たると思います。通信会社であれば、ホームページトップや決済部分などに対してセキュリティ対策は十分にしていると思います。ですが今回のように正規に認められた権限を使った第三者のアクセスを突かれるのはおそらく想定外だったのだと思います。しかし言い方は悪いのですが、IDとパスだけで個人情報までたどり着ける状態があるのであれば、そのクレデンシャル(ログイン情報)が窃取されたら、容易に個人情報持ち出しまで繋がる訳ですから、想定内の事としてセキュリティ対策を考えておくべき(Swisscomの場合だと、2要素認証だったり不正検知の強化)かと思います。

サプライチェーン全体、つまり自社だけではなく、自社ネットワークに繋がっている全ての企業を含めたセキュリティ対策が重要であり、その場合は自社のネットワーク以外は(FW的な考えでは)全てUntrustだと思う事が必要になりつつあると認識すべきでしょう。

 

www.nikkei.com

 

 

電話会社のイラスト

 

 

更新履歴

  • 2018年2月11日 AM(予約投稿)