Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

プレミアム・アウトレット会員情報漏えい事件

日経xTECHの4月6日にプレミアム・アウトレットの会員情報が漏えいしている件を報じました。

tech.nikkeibp.co.jp

 三菱地所・サイモンが運営するショッピングモール「プレミアム・アウトレット」の会員情報と思われる約43万件のデータが、海外のストレージサービスに公開されていることが、都内在住のセキュリティリサーチャーからの情報提供で2018年4月6日に明らかになった。

 ストレージサービスには、「www.premiumoutlets.co.jp.txt」という名前で公開されたファイルに、42万9750件のメールアドレスとパスワードが含まれる。パスワードは暗号化されておらず、そのまま読めるようになっている。リストには、同じメールアドレスが複数登録されたものも見つかっている。

 漏洩した情報は、プレミアム・アウトレットの会員サービス「ショッパークラブ」の会員情報である可能性が高い。公開されているファイルには筆者の会員情報も含まれており、このサイトで登録したパスワードが記載されていた。

 情報提供者によれば、2月に様々なWebサイトから漏洩したと思われるメールアドレスとパスワードの組み合わせの一覧が一斉に公開され、今回のファイルはその中の一つだと思われる。

(日経xTECH記事より引用)

 

おそらくこのスクープを受けて、三菱地所・サイモンが4月7日に会員情報が流出した可能性があると発表しました。

tech.nikkeibp.co.jp

 

4月14日に初報された約43万件の漏えいした疑いのある会員情報に対し、三菱地所・サイモン約27万件が流出したと公式に認めました。

mainichi.jp

■公式発表

  ショッパークラブ会員情報に関するご報告(4月14日)

 会員情報流出の可能性について(4月7日)

 

◆キタきつねの所感

事件が明らかになったきっかけの都内在住のセキュリティリサーチャー(※当然私ではありませんが)が誰なのかも気になる所ですが、一番の問題だと思うのが、DarkWeb的なストレージサービスに公開されていたプレミアム・アウトレットの情報には、どうやら会員メールアドレスと「平文パスワード」が含まれていそうなことです。

公開されているファイルには筆者の会員情報も含まれており、このサイトで登録したパスワードが記載されていた

(日経xTECH記事より引用)

三菱地所・サイモンの4/14リリース内容も確認してみましたが、漏れたのが「ハッシュ化されたパスワード」という記載ではなく、単に「パスワード」という記載しかなく、

■現在の確認状況

・ショッパークラブから流出した可能性がある情報としてメールアドレス及びパスワードデータが外部に存在することが確認されました。

・うち約24万件分につきましては、現時点でお預かりしている会員情報とメールアドレスとログインパスワードの組み合わせが合致しており、約3万件分につきましては、メールアドレスのみ合致していることが確認できました。

・メールアドレス、ログインパスワードを除くご登録情報(ニックネーム、性別、生年月日、都道府県)につきましては外部データに含まれておりませんでした。

(4/14ショッパークラブ会員情報に関するご報告より引用)

漏えいしたリストとパスワード照合できた・・・という事、及び日経記者さん個人のパスワードを確認したとの記事内容から、漏れていたリストに含まれている情報が平文パスワードであった事はほぼ間違いないものと思われます。

リリース内容には、メールアドレスとパスワード以外は漏えいしてない、と推測される内容がありましたので、会員サイトに対するパスワードリスト攻撃という可能性は低く、内部漏えいか、不正アクセスからの漏えいという可能性になるかと思います。

 

しかし、リリース内容の「今後の対応」部分には、

■今後の対応

※尚、今後の情報流出を防止するため、会員情報データベースをネットワークから切り離し安全に隔離しております。これに伴い新規会員登録受付及び既存会員のログインも停止しております。

(4/14ショッパークラブ会員情報に関するご報告より引用)

とあるので、内部犯行ではなく、会員情報データベースに対する何らかの不正アクセスと運営側が認識していると解釈できそうです。

だとすれば、やはり平文でパスワードを会員情報データベースに持っていたか、ログイン認証画面に「情報窃取」されるスクリプト等をしかけられた(Web改ざんされた)可能性が考えられそうです。

 

会員ログインの画面は停止しているので確認できませんでしたが、

f:id:foxcafelate:20180415084142j:plain

ショッパークラブのトップページはHTTPSEV証明書になっていましたので、サイトへのセキュリティ実装が弱かった訳ではない気がしますが、会員情報データベースに不正アクセスをされてしまう何らかの脆弱点(SQLインジェクションがまず頭をよぎりますが・・)を抱えていたのかと推測します。

 

いずれにせよ会員サイトは狙われやすい前提で、「防御」だけでなく、「検知」「回復」を意識したサイト構築をしないといけないのだと思います。

 

DoS攻撃のイラスト

 

更新履歴

  • 2018年4月15日AM(予約投稿)