Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

共有パスワードを外部接続で使うリスク

Security Nextの4月20日記事に内部犯行案件が載っていました。

www.security-next.com

同社によれば、同社製品に対してウェブから問い合わせを行った顧客の情報を、元従業員が営業管理ツールに不正ログインして閲覧。転職先である医療予約技術研究所の営業活動に利用していたもの。

(security next記事より引用)

 

■公式発表:出されて無い気がします。 (※リザーブリンク News一覧

f:id:foxcafelate:20180503064855j:plain

 

◆キタきつねの所感

会社規模からベンチャー企業と推測しますが、Security Nextの発表を受けていて、会社HPに公式発表が無いのはどうしてかなぁと思います。株式公開をしている訳ではなさそうですので、公表の義務は無いかも知れませんが、顧客情報を預かるクラウド予約管理パッケージを提供する事業者として、個人情報(顧客情報)の取り扱いをあまり重要視してないと考えてしまいます。

 

因みに・・・同社の個人情報保護方針は、しっかりと定義されています。

 

f:id:foxcafelate:20180503064859j:plain

点検を実施し、発見された違反や事故に対して、速やかにこれを是正するとともに、弱点に対する予防処置を実施いたします」

 

とても立派な(当たり前な)事が書いてあります。しかし事件の原因については、

同社が調査を行ったところ、製品の問い合わせ情報を管理している営業管理ツールのアクセスログ不審なIPアドレスから共用IDにより、ログインされていたことが判明した

(security next記事より引用)

 

元従業員の不正ではありますが、共用IDによる犯行です。リスク管理をしていた(PDCAを廻していた)とはとても思えません。私がもしセキュリティの担当者だったとして、見出せた可能性がある脆弱点としては以下があったかと思います。

 

  • 共用IDで入れた=共用IDのパスワードを使っていた
  • 共用パスワードは元従業員が退職後も変更されてなかった
  • 営業管理ツールへの外部アクセスに多要素認証が使われてなかった
  • 不審なIPアドレスからのアクセスを監視してなかった

 

非常に疑問なのは、共用ID(共用パスワード)を外部からのアクセスに使う事について、社内では誰もリスクを感じてなかったのでしょうか?

 

予約システムのプラットフォーム自体が不正アクセスを受けた訳ではないかとは思いますが、大手企業も含む多くの組織が同社のサービスを利用している様ですので(導入実績)、顧客企業は同社のセキュリティ管理体制について厳しく問うべきではないのかなと思います。

f:id:foxcafelate:20180503070742j:plain

 

※(単なる個人的な推測ですし)そうなって無いとは思いますが、同じ様な運用だととすると、同社の顧客クラウド領域への(外部からの?)メンテナンスアクセスに共用IDが使われている可能性もあり、そこが不正アクセスを受けると大きな情報流出につながる事を懸念します。

 

ハッカーのイラスト(セキュリティー)

 

更新履歴

  • 2018年5月3日AM(予約投稿)