Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

メニコンはノーガード戦法であったのか?

最近の日経xTECHさんの記事は、プレミアム・アウトレット関連の報道を含め、深い取材内容に敬意を表します。メニコンWebサイトからの個人情報漏えいの原因がOpenSSLである事を記事に書かれていました。また、その事件発表のサイトが同じ脆弱性を抱えたサーバである事も追加検証されていました。

tech.nikkeibp.co.jp

4年経った2018年になってもHeartbleedの脆弱性を残したまま運用していた可能性の高いWebサーバーが見つかった。メニコン子会社のダブリュ・アイ・システムのWebサーバーだ。メニコンは5月17日、そのWebサーバーからクレジットカードなどの個人情報が漏洩したことを明らかにした。

 

メニコンの子会社ダブリュ・アイ・システムが運営する「A-Web倶楽部」。情報漏洩が判明した後、おわびページを表示している

(日経XTech記事より引用)

 

f:id:foxcafelate:20180609181344j:plain

◆キタきつねの所感

最近、森永乳業メニコンと実際の被害(不正利用)までつながっている事件が出てきています。ECサイトが丁度、実行計画/改正割賦販売法の影響で、システム対応変更時期に来ている事からその対応中を狙って攻撃を仕掛けてきているハッカーが多いともいえますし、常にECサイト脆弱性を探されていると考える事もできます。

とは言え、今回の「A-Web倶楽部」の情報漏えい事件については、企業側のセキュリティに対する姿勢が疑われても仕方が無い、もっと乱暴に言うならば、ノーガード戦法だったのか?と思える程の致命的な脆弱性を突かれてしまった様です。

 だが、4年経った2018年になってもHeartbleedの脆弱性を残したまま運用していた可能性の高いWebサーバーが見つかった。メニコン子会社のダブリュ・アイ・システムのWebサーバーだ。メニコンは5月17日、そのWebサーバーからクレジットカードなどの個人情報が漏洩したことを明らかにした。

(日経XTech記事より引用)

OpenSSLの脆弱性「HeartBleed」ですか・・・と、2014年のHeartBleedから始まった当時のバタバタについて懐かしく思い出してしまいました。

jp.globalsign.com

当時はあらゆる企業でこの対応について大混乱していたのですが、メニコン(子会社)は、当時の”お祭り”をまったく知らなかったのでしょうか?

たとえそうであったとしても、Web脆弱性診断を定期的に実施していれば、普通に指摘が上がってきていたと思います。何らかの事情でOpenSSLの脆弱性を放置するしかなかったのだとすれば、WAFを入れる等々の緩和策もあったと思うのですが。。。

 

その後の、脆弱性のあるWebサーバで事件に対するお詫びを掲載していた件については、Equifaxの事件サイトが混乱した件を思い出しました。

news.mynavi.jp

フィッシングサイトの乱立と含め、事後対応というのは日大アメフト部の例を挙げるまでもなく、慎重に進めないと影響が拡大してしまう訳ですが、結局のところ、事件が発生して慌てて対応する側にはミスが出やすいのはいたし方がないかと思います。だからこそ、インシデント対応計画で事前にありそうな事態を想定しておく、訓練しておく、そうした平時の対応が重要になっているのではないでしょうか。

いずれにせよ、世の中に知られていた(はずの)大きな脆弱性を、メニコン側が4年放置し、高い代償を払うことになった事を、他社は(特にパッチ管理の重要性について)よく見ておくべきかと思います。

  

 

 

 

ã³ã³ã¿ã¯ãã¸ã£ã°ãªã³ã°ã®ã¤ã©ã¹ã

 

更新履歴

  • 2018年6月9日PM(予約投稿)