Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

古き良き時代は終わっているという認識が必要ではないか

4月4日のSecurity Nextの記事に日本がん治療認定医機構からメールアドレスとパスワードが流出した可能性があると報じてました。

www.security-next.com

調査を行ったところ、システムの脆弱性を突く不正アクセスの痕跡がログに残存。詳細については調査中としているが、「SQLインジェクション」によるものと見られている。

今回の不正アクセスにより、2007年10月10日から2018年2月22日にかけて、同システムに情報を登録または変更した認定医最大2万1563人のメールアドレスとパスワードが外部に流出した可能性がある。

(Security Next記事より引用)

 

■公式発表

 JBCT 日本がん治療認定医機構 3月22日

 

3.原因

 本機構がシステム開発およびサーバー管理を委託している外部の協力会社が制作した「変更届システム」の一部に脆弱性があり、この脆弱性を意図的に利用すると前項に記載した情報(メールアドレスとパスワード)が不正に取得できる状況でありました。今回の調査で改めてサーバーのアクセスログを取り解析したところ、本件発覚以降、「変更届システム」および「認定医名簿」に対する不正アクセスの痕跡が複数回認められました。

(日本がん治療認定医機構リリースより引用)

 

◆キタきつねの所感

SQLインジェクションが未だ現役脆弱性である事を改めて感じる個人情報漏えい事件ではありますが、去年改訂されたOWASP Top10見ても、複数のインジェクション手法の集合体とは言え、インジェクションが1位ですから、まだまだ脆弱点を抱える組織は多いのかも知れません。

image

(OWASP Top10改訂内容から引用)

 

不正アクセスにより、システムが使えなくなるとどうなるかと言えば・・・1世代前の手段に戻る訳ですが、

f:id:foxcafelate:20180415090321j:plain

サイトからの申請が禁止されると、電子メール、Fax、郵送となる訳であり、電子メール以外ではインターネットの恩恵から外れる事となります。

不便さはさて置き、日付を見ると、日本がん治療認定医機構は3月9日には、利用停止の措置を取っているであろう事が(2018.03.09表記から)分かります。

一方で、正式な事件リリースは2018年3月22日となっています。リリース内容を見ると、

1.経緯

 2018年2月22日にがん治療認定医の方の所属先から、がん治療認定医登録情報の一部が流出している可能性があるとの連絡を受けました。

(日本がん治療認定医機構リリースより引用)

とあります。時系列としては、

  • 2月22日 外部から漏えい指摘
  • 3月9日 「変更届システム」および「認定医名簿」をクローズ
  • 3月22日 不正アクセスを発表

となりそうです。外部指摘から1ヶ月かかって不正アクセスを公式発表したのは、諸々の対策を考慮して仕方が無かったのかもしれませんが、漏えい指摘から当該システムを止めるまでに2週間かかっているのは、問題な気がします。

また不正アクセスの痕跡は『複数回認められた』とリリース内容にあるので、不正アクセスを監視する体制になってなかった、あるいはそもそも不正アクセスは想定してなかったことも透けて見えてきます。

利用ユーザ側に便利な機能(検索機能や申請機能)を付けるのはサイト運営側としては善意なのかも知れませんが、安全な社会(古き良き時代)という認識は崩れつつある訳ですから、厳しい見方をすれば、個人情報を扱う機能提供者として『善管注意義務』違反であるとの認識が足りないと言えそうです。

Web脆弱性を攻められて、多くの組織・企業が個人情報を漏えいしている事件がここ数年続いている訳ですから、Web脆弱性SQLインジェクション等)の定期的テストだけでなく、自社がどういった資産(個人情報を保管あるいは個人情報を経由しているシステム)を持っているのか、今一度見直しすべきなのではないかと思います。 

 

 

虫眼鏡を持つお医者さんのイラスト

 

 

更新履歴

  • 2018年4月15日AM(予約投稿)