Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

福岡放送の不正アクセス事件を調べてみた。

福岡放送のホームページがサイバー攻撃を受けて個人情報が漏えいした可能性があると朝日新聞の2/13記事で報じられていました。

www.asahi.com

f:id:foxcafelate:20180214165153j:plain

 

インシデントタイムライン

日時 出来事
2018年2月2日 サイバー攻撃を受ける 
2018年2月5日 夕 外部からサイバー攻撃を受けた事を確認
2018年2月9日 夕~ ホームページを休止してプログラムを改修
2018年2月13日 午後 一部機能を制限して復旧
2018年2月13日 22時 朝日新聞が報道

 

■公式発表

 無し

事件の状況 
  • 2018年2月2日に外部からサイバー攻撃を受け、プレゼント抽選計4件の応募者のアドレスを盗み見られた痕跡を確認
    プレゼント抽選計4件の応募者のアドレスを盗み見られた痕跡があった
  • プレゼント抽選計4件の応募者のアドレスを盗み見られた痕跡があった
    2018年2月5日にもサイバー攻撃を受け、番組やイベントのプレゼント抽選に応募した153人のメールアドレスを盗み見られた恐れ

 

◆キタきつねの所感

非常に疑問なのが、記事を書いている14日時点で公式な発表がないことです。Googleにはホームページメンテナンスという記載が残っていますが、おそらく元々対外発表しない方針だったのではないかと推測します。メールアドレスしか漏れてない訳ですから、(個人情報漏えいには当たらないと判断し)公表しなくても良いとするのは1つの考え方だとは思いますが、もし事件を隠蔽する意図があったのだとすれば、メディアがそれで良いのか?と疑問に思います。

番組やイベントのプレゼント抽選に応募した153人のメールアドレスを盗み見られた可能性がある
番組やイベントのプレゼント抽選に応募した153人のメールアドレスを盗み見られた可能性がある
番組やイベントのプレゼント抽選に応募した153人のメールアドレスを盗み見られた可能性がある
番組やイベントのプレゼント抽選に応募した153人のメールアドレスを盗み見られた可能性がなの

f:id:foxcafelate:20180214165156j:plain

最初に記事をスクープした朝日新聞の取材は2月13日22時、毎日新聞が2月14日10時、産経Westが2月14日11時にWebサイトで記事を掲載していますが、3社の報道を俯瞰すると、2月2日と2月5日の両日に不正アクセスを受けていた事が推測されます。

同社は「攻撃は昨年6月以降、断続的にあったが、具体的に被害が確認されたのは初めて」としており (産経West記事より引用)

今回どういった手口だったのか(何の脆弱性を狙われたのか)、福岡放送は開示しない方針のようですが、

同社コンテンツ事業部の担当者は「セキュリティー上の問題があり詳細は回答できない」と説明した。(朝日新聞記事より引用)

産経Westだけが、推測できる一文を書いていました。

HPのプログラムを改修し、視聴者の投稿フォームなどを制限するなどの対策を講じた。(産経West記事より引用)

 

これを読んで頭をよぎったのが2016年の日本テレビJ-Wave不正アクセス(OSコマンドインジェクション攻撃)を受けて個人情報を漏えいした件であったり、去年10月のMXテレビ不正アクセスが同様なケースなのかと思いますが、OSコマンドインジェクションや、SQLインジェクション等々のインジェクション攻撃が原因ではないかなと思います。

これが正しければ、継続的に攻撃を受けていた福岡放送は(上記の様なメディアが攻撃を受けていた件は当然知っていると思うので)もしかするとセキュリティ対策が甘かったのかも知れません。Web脆弱性診断などを定期的に行っていれば、今回の事件は防げたのではないかと愚考します。

他のメディアへの参考になる部分もありますし、一般企業で不正アクセス事件が発生した場合には容赦なく情報公開を要求する立場なのですから、公式発表をきちんと出してくれると良いのですが・・・事件経緯を俯瞰すると、他メディアの追加取材が無ければ、発表は無い気がします。

 

参考:

d.hatena.ne.jp

日本テレビ 

 個人情報不正アクセスに関する調査報告書

J-Wave 

 

MXテレビ

 弊社ホームページに対する不正アクセスによる個人情報流出の可能性について

 

更新履歴

  • 2018年2月14日 PM(予約投稿)