ポルシェ ジャパンが2月26日に公表した不正アクセス事件についての最終報告を4月9日に公表しました。
www.porsche.co.jp
■公式発表
不正アクセスによるお客様情報の流出に関するお詫びと調査報告の最終報告(4/9)
不正アクセスによるお客様情報の流出に関するお詫び(2/26)
◆キタきつねの所感
外部のフォレンジック調査の結果として、2月に公表した流出データから変わった点では、ドライビングスクールへの資料請求をした顧客情報が2855件追加となっていました。(2月時点で調査中だったメールアドレスはテスト用だったことも判明)
結果として、2月の発表では28,722件であったのが、最終報告では31,574件となっていました。新たに判明した顧客情報は、メールアドレス以外にはパスワードのハッシュですので、すぐには影響は無いかも知れませんが、ハッシュの方式・持ち方(ソルト・ストレッチはしてたの?)によっては、レインボーテーブルに当たってしまう可能性もある為、漏えい対象の顧客(ユーザ)はやはりパスワードを変更すべきかと思われます。
この手の最終報告書で気になる所は、①不正アクセスの原因と、②追加対策(弱かった部分が浮かび上がってくる事が多い)の発表なのですが、
①については、
当該攻撃への対策として独立行政法人情報処理推進機構が推奨する対策が実施されていることが確認されました。
不正アクセスを行った第三者は、不正アクセスのログをもとに調査をしておりますが、特定には至っておりません。
(最終報告書から引用)
Webアプリケーションの実装がIPA推奨ではなかった事が報告書から分かります。OWASPトップ10にある様なSQLインジェクションのような脆弱性を突かれたという事なのでしょうが、原因は報告書では公表されていませんので、もしかすると複数の脆弱点を抱えていた(=恥ずかしくて公表できない)のかも知れません。
アクセスログからの調査に関しては、前記事でも書きましたが、ログが1ヶ月しか残ってないという、かなり致命的なログ管理体制だったので、(材料不足で)特定は・・非常に困難(おそらく無理)だと推測します。
②の再発防止策については、
- システム開発におけるセキュリティに関する審査手続きの厳格化
- お客様情報を取り扱う新規又は既存のシステムに対する第三者によるセキュリティ診断の実施
- お客様情報を取り扱う委託先のセキュリティ対策に対する監査
という発表でしたので、ポルシェ ジャパンは、
1 セキュリティを意識せずに委託先は開発を進めていた(開発要件仕様になかった)
2 顧客情報を扱うシステムは第三者のセキュリティ診断を行ってなかった(行うべきだった)
3 顧客情報を扱う委託先にセキュリティ監査を実施してなかった
事が分かります。
平たく言えば、セキュリティを考えてない企業体質であった事をポルシェ ジャパンは反省してますという事になるのだと思います。
とは言え・・・3項目目は、もしかすると難しいのではないかと推測します。委託先管理ができるか?という部分に関して、そこが出来てなかったから事件を起こしている訳であり、本社ドイツからのサポートがあるとしても、(前記事でも下記を引用しましたが・・・)
社員数が65名で、販売系に多くのウェイトが置かれているであろう事を想像すると、セキュリティ監査を日本主体で行うためには、恐らく外部から人をスカウトしてくるしか無いのではないでしょうか?(自社で育てる時間が無いとした場合)
本社から技術陣を呼んで委託先を定期監査する手もあるかと思いますが、英語で委託先監査を実施する(翻訳する)事になりますので・・・意思疎通や頻度も含め、やはり意図している委託先管理の実現は面倒かも知れません。
参考:
foxsecurity.hatenablog.com
更新履歴
