Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

九州商船の最終報告書が勉強になる

九州商船が1月にWeb予約システムへ不正アクセスを受けた件で3/30に最終報告書を出た旨、Zdnetに記事が出ていました。japan.zdnet.com

弊社WEB予約サービスに対する不正アクセスに関する最終報告|九州商船

 

結局1月から3月5日までWeb予約システムを止めなければならなかったようです。最終報告書を読む限り、(フォレンジックを担当した)長崎総合科学大学工学部 大山教授を委員長とする調査委員会の見解としては、不正アクセスによる個人情報漏えいは無かったという結論となったようです。

では何故不正アクセスがあったのかといえば、解析結果では不正アクセスを仕掛けて来た理由としては『仮想通貨のマイニング』が狙いであったので、個人情報まで取得できた可能性があるのですが、そちらに目が向いてなかったということのようです。

今回の調査報告では、2つのPDFが公開されています。

 

上は・・・まぁ個人情報漏えいがありませんでした、という調査概要となります。

3. お客様情報漏えいの蓋然性
本件不正アクセスが、九州商船株式会社を特定して行われてものではなく
もっぱら機械的な探索と、暗号通貨の発掘を目的としたものであり
データベースログ上にデータ持ち出しの痕跡が発見されなかった
ことから、本件不正アクセスによって、お客様情報が漏えいした可能性は極めて低いと考えられる。

 

上記の「仮想通貨狙いだったので顧客情報は漏えいしてないと考えられる」という調査結論部分と、

 

4.再発防止策の提言
(1)不要なサービスの停止、ポート、アクセス元の制限
   →FTPは使用しない、IPアドレスによる制限等の実施
(2)メンテナンスアカウントのセキュリティ強化
   →証明書を使用したssh等の利用
(3)継続的なシステムのアップデート
   →アップデート時の動作検証を速やかに行う体制の整備
(4)不正アクセスを意識した設計とコーディング
   →多層防御を意識した設計(パスワードのハッシュ化含む)、
    外部パラメーターを信用しないコーディング
   →コードレビューの一環としての自動化テスト
(6)ログの定期的な監視
   →ログにノイズとなる情報が出力されない様なコード整備、ログ監査の
    自動化を実施し、継続する体制を整備すべきである。
FTP使ってたんだ・・・という部分は気になりましたが、その他は管理者アクセスの強化、パッチ当て、
多層防御、コードレビュー、ペンテスト、ログ監視と一般的なセキュリティ対策の範疇ではありますが、
対策例として参考になります。
 
しかし、今回の最終報告書で読んでいて面白かったのは「解析編」です。どうやって推定無罪の論旨とした
のか、こうやってフォレンジック調査を進めるのか、といった普段の事件では公開されないポイントがあり、
その手法(注意すべきポイント)について勉強になりました。
 
個人情報漏えいの観点だけでなく、仮想通貨マイニングプログラム(マルウェア)を仕掛けられた時の
調査手法としても参考になる部分が多いのではないでしょうか。
 
 
参考:
 

豪華客船・フェリーのイラスト

 

 

更新履歴

  • 2018年4月8日PM(予約投稿)