Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

こうのとりが知らせるのが遅くないか?

こうのとり検査薬.NETが不正アクセスによりカード情報を漏えいしていたかも知れないと5/23に発表していました。

kensayaku.net

■公式発表

 こうのとり検査薬.NET」への不正アクセス発生についてのご報告とお詫び

 

事件の状況 
  • 2017年8月7日~2018年1月18日までに新規でクレジット決済を利用した11,314名のカード情報が漏えいした可能性が高い
  • 流出した可能性のある個人情報
    • カード会員名
    • クレジットカード番号
    • クレジット有効期限
    • セキュリティコード

 

原因

  • 外部からWebアプリケーションの脆弱性を利用した攻撃によりクレジットカード会員データ等が抜き取られた可能性

公表が遅れた経緯

  • クレジットカード決済代行会社と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対策準備を整えてからの告知が不可欠であると説明を受け、発表は調査会社の調査結果、およびカード会社との連携を待ってから行った

 

◆キタきつねの所感

2つの点で(ほとんどの情報流出事件がそうではありますが)、発表は曖昧です。

1つは『外部からWebアプリケーションの脆弱性を利用した攻撃』なるものです。その脆弱性は何であるのか?何故発表しないのか?発表できない程に単純なもの(SQLインジェクション等々)であったのか?という部分です。

2つ目は、1月の事件が公表されるにしては何をしていたの?という部分です。

  • 社内調査
  • フォレンジック調査(カード情報漏えいの疑いがある時はほぼ必須)
  • 決済代行会社/カード会社との調整
  • (事件公表の判断)

この内、社内調査は1-2週間程度で普通に調べられる事は終わると思います。

フォレンジック調査は契約内容や事件の解析困難さ(ログ残っているのか等々)によって違うかと思いますが、1-2ヶ月で最終報告書を受領できるケースが多いようです。

この試算だと1月末までに社内調査完了+フォレンジック調査会社と契約が出来ると思うので、3月末~4月上旬までにはフォレンジック調査会社の最終報告書の受領まで(最短で)たどり着けたと思います。1ヶ月半~2ヶ月も、カード会社との調整がかかるとは思えないのですが、この背景には何があるのでしょうか?もしかすると、森永乳業メニコン子会社の急ぎのフォレンジック調査が優先された・・・という可能性もあるかも知れませんが、セキュリティコードまで漏れている・・・というECサイト側の大きな実装ミスあるいは、決済代行会社側のミスが疑われるケースですので、改正割賦販売法の6/1施行を前にギリギリまで時期を計算して発表したという事なのかも知れません。

 

 

 

 

妊娠検査薬のイラスト

 

更新履歴

  • 2018年6月10日AM(予約投稿)