Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

宝塚・園芸施設以外にも漏えい発表が今後出てきそうです。

神戸新聞に園芸施設のクチこみサイトから個人情報が漏えいした件が載っていました。

 

www.kobe-np.co.jp

■公式発表

 不正アクセスによるお客様情報流出の可能性に関するお知らせとお詫び

f:id:foxcafelate:20180430173807j:plain

◆キタきつねの所感

事件自体はいわゆる普通の不正アクセスによる個人情報漏えい事件の様に見えます。公式発表を見ても、何となく不正アクセスあったんだな、でも最大609件だから大したことないな・・と思う方が多いかと思います。

 

f:id:foxcafelate:20180430173637j:plain

 

一応事件について、気づいた点を書いておきますが、外部からの不正アクセス・・の中身がよく分かりませんので、OWASP TOP10系のおそらくインジェクションかな・・・程度の事件原因に対する想像です。それより気になったのが、下記の、”有限会社”の部分

当社のホームページ内の園芸クチコミサイト(http://www.aiaipark.co.jp/)の運営を委託しております有限会社ビーアイティー(以下、「bit」といいます)の管理するウエブサーバーが外部からの不正アクセスを受けました。

(公式リリースから引用)

 

恐らくこちらの会社だと思います。

f:id:foxcafelate:20180430173938j:plain

更に気になったのが、「現在、新規でのご依頼は受け付けておりません。」という注意書き。

 

もう少し調べてみると、2012年の登録情報ですが、企業情報サイトではこうなっていました。

 

f:id:foxcafelate:20180430173943j:plain

やはり・・2名では、ホームページ制作やシステム開発を専業とする方であっても、セキュリティ実装については深い知見は”無い”可能性が高いのではないでしょうか?だとすると、こうした事件を起こした原因のひとつは、やはり開発・運用を委託した側の責任だと言えるのではないでしょうか?

 

さて、標題の件。なかなか本業が忙しくて(一応・・コンサルタント的な業務も多く、GWも家族に怒られながら家で仕事をしておりますが。。。)なかなか調査時間が取れてないのですが、DarkWeb等に漏えいした個人情報ファイルらしきもの(ファイル名だけ)を検索できるサイトがあって調べています。

f:id:foxcafelate:20180430175153j:plain

https://weleakinfo.com/

 

このサイトでも、日経BPの記者さんが特ダネで挙げていた、プレミアム・アウトレットで記者さんがたどり着いた「www.premiumoutlets.co.jp.txt」が検索でひっかかります。

tech.nikkeibp.co.jp

セキュリティ専門家TroyHunt氏の2月の下記記事に日本組織を含む、個人情報ファイル(プレミアム・アウトレットもここに含まれる)がDark Webに出ている事を報じた記事がありました。

Troy Hunt: I've Just Added 2,844 New Data Breaches With 80M Records To Have I Been Pwned

 

おそらく、DarkWebのどこかで売っているのだと思いますが、漏えいしたと思わしき個人情報ファイルに掲載されているサイト情報を「.jp」で探してみると結構なサイトが出てきます。

 

その中に、国内で情報漏えいが発表された「健診すずめ通信(尼崎市)」「日本がん治療認定医機構」「プレミアム・アウトレット」が含まれてました。

これが何を意味しているのか?と言えば、公式に情報漏えいを発表してないであろう組織が結構あるという事を指すのだと思います。(長くなったので次記事で少し書ければと思います)

 

参考

www.city.amagasaki.hyogo.jp

foxsecurity.hatenablog.com

foxsecurity.hatenablog.com

園芸店の店員のイラスト(女性)

 

 

更新履歴

  • 2018年4月30日PM(予約投稿)