Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

熊本県サイト個人情報流出事件を考えてみた。

熊本日日新聞3月20日記事に、熊本県の情報サイト「気になる!くまもと」の不正アクセス事件が載っていました。

this.kiji.is

■公式発表

熊本県メールマガジン「気になる!くまもと」のウェブサイトへの不正アクセスに関するご報告 / 熊本県

 

事件の状況
  •  熊本県が配信しているメールマガジン「気になる!くまもと」の記事を掲載しているウェブサイトに不正アクセスがあり、3月17日に公開ページの一部改ざんが判明
  • サーバ内に保存していたプレゼント企画に応募した(2008年5月~2018年1月)読者会員のメールアドレス等個人情報12,424件が流出したことを確認(メールアドレス、性別、年齢、居住都道府県、アンケートへの回答等)
  • 「気になる!くまもと」プレゼント企画ページの改ざん
  • 被害を受けたサイトは運営企画会社に委託しており、県公式ホームページとは別システムで被害は受けていない
  • 17日に県警から指摘を受け事件が発覚
事件の原因
  •  スタッフブログの過去記事の一部に脆弱性を抱えたシステムがあり、不正侵入された形跡が残っていた。(熊本日日新聞記事より引用)

 

f:id:foxcafelate:20180325125004j:plain

 

◆キタきつねの所感

不正アクセスによる、個人情報流出事件ではありますが、ブログから侵入というのがあまり聞かないパターンでした。

被害を受けたサイトは熊本県ではなく、運営は別企業に委託とありましたので・・調べてみましたが、こちらの会社が運営していたようです。

 

f:id:foxcafelate:20180325132040j:plain

制作実績ページ

f:id:foxcafelate:20180325132045j:plain

 

事件の原因
  •  スタッフブログの過去記事の一部に脆弱性を抱えたシステムがあり、不正侵入された形跡が残っていた。(熊本日日新聞記事より引用)

 

のブログも・・・くまもんが出てきましたので、こちらで間違いないかと思います。

f:id:foxcafelate:20180325132138j:plain

 

では、どんな脆弱性だったのか・・・、ブログの下の方に使っているツール表記が「Blogger」とありました。恐らくこのツールに関わる脆弱性が原因だったのでしょう。(まったく事件とは関係ないのですが、コピーライトの年号が古いのが気になってしまいますが・・・)

f:id:foxcafelate:20180325132140j:plain

 

Bloggerのサイトを見てみたのですが、

f:id:foxcafelate:20180325132142j:plain

残念ながら、近々に出された脆弱性告知(パッチ情報)を見出せず・・・。まぁ英語のサイトのどこかに書いてあるのかも知れませんが、さっと見た感じでは重要な更新情報としては掲載されている様な雰囲気を感じませんでした。

ECサイト等でのこうしたフリーの標準プラットフォームの侵害事件の場合、サードパーティプラグイン脆弱性が突かれる事が多いので、もしかすると、そうした脆弱性だったのでしょうか。

 

簡易調査では、この程度しか調べられませんでしたが、今回の事件では運営企画会社及び熊本県にいくつもの問題があり、個人情報の漏えいにまで繋がったものと思われます。

 

  • ブログの脆弱性(過去記事)を放置
  • プレゼント企画への10年分の応募者データをサーバに保存(10年分は不要だったはず)
  • プレゼント企画ページの改ざんも県警に言われて初めて気づいている

 

普通なら運営企画会社が一番罪が重い訳ではありますが・・・

会社のホームページを見ると、現実的な問題としてこちらの会社がセキュリティ対策をしっかりしなければ!という意識をちゃんと持てていたかというと疑問です。というのは・・社員数6人しか居ない会社であるのが最大の理由です。制作実績ページを見る限り、パンフレット、チラシ、グッツ、ポスターの実績が多く、Web制作も手がけていますが、編集のプロではあってもセキュリティ対策のプロ・・が居そうな雰囲気はありません。

だとすると、発注側である熊本県サードパーティの管理責任の一環として、Webページ(あるいはプレゼント応募ページ)に対するセキュリティ要件をしっかりと書いて、発注(更新依頼)すべきだったのではないかと思います。

 

※少し前に福岡放送が、そして2016年~日本テレビ等々がプレゼント応募の部分を突かれた事件を「自分事」と考えられていれば、結果が違った可能性もあるかと思います。

foxsecurity.hatenablog.com

 

f:id:foxcafelate:20180325132144j:plain

 

 

編集者のイラスト

 

更新履歴

  • 2018年3月25日PM(予約投稿)