Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

漏えい件数が公開されないのは何故か?

Scan Netsecurityに舞台公演の企画や映画製作を手がけるCLIEのカード情報漏えい記事が出ていました。

scan.netsecurity.ne.jp

■公式発表

  不正アクセスによるお客様情報流出に関するお知らせとお詫び

事件の状況 
  • 旧ウェブサイトが第三者からの不正アクセスを受けクレジットカード情報を含むお客の個人情報が外部に流出していた事が判明
  • 2017年3月1日~2017年10月13日にクレジット決済したお客が対象
  • カード会員氏名、カード番号、カード有効期限が流出した
  • 攻撃の原因となった脆弱性、カード流出件数は非公開

 

■事件の時系列

日時 出来事
2017/3/1~2017/10/13 CLIE-TOWNでクレジットカード決済をしたカード情報が外部に流出
2017/10/13 サイトのリニューアルを実施
2017/12/18 クレジットカードの決済代行会社から情報漏えいの懸念があると連絡を受け、カード決済を停止し、PCF社に調査を依頼
2018/1/31 PCF社から最終調査報告書を受領。
2018/2/6 所轄警察へ報告
  カード会社等との対応協議、連携準備
2018/6/26 事件を公表

 

◆キタきつねの所感

先日某所でフォレンジック調査会社の方と会話をしました。「忙しい」と言っていましたので、まだまだカード情報・個人情報漏えい事件は発表されるかも知れません。

今回の事件に関して時系列を見て思うのは、まず1月末の最終報告書受領から、6月末の事件公表まで約5ヶ月かかっている点です。

3.経緯
2017年12月18日、クレジットカードの決済代行会社より、弊社が運用しているサーバからクレジットカード情報が漏えいしている疑いがあるとの連絡がございました。これを受け、当サイトでのクレジットカード取引を直ちに停止し、カード情報のフォレンジック調査機関であるPayment Card Forensics社に調査を依頼いたしました。
2018年1月31日に同調査機関より最終調査報告書を受領のうえ、カード会社等と対応を協議し、このたびのご報告となりました

また、所轄警察へは2018年2月6日に報告しております。

 

4.再発防止に向けて

(中略)

また、不正アクセスの検知から本件の公表に至るまで時間を要しましたことにつきましてお詫び申し上げます
当初、不正アクセス検知の時点での情報公開も検討いたしましたが、正確な状況が把握できていない状態での告知はかえって混乱を招く恐れがあるとの指摘を受け所轄警察への報告カード会社との連携準備を進めたうえ、今回の公表へと至った次第でございます。

Clie社リリースより引用)

カード会社等は、何故漏えいの公表を遅らせる必要があったのか?実際にそんなに調整期間がかかるのか、関係者ではありませんので何か深い理由がある事まで分かりませんが、他の事件公表を見ていると短いところでは数日以内に第一報を出しますし、よく見るのは最終調査報告書受領して1ヶ月以内に事件公表する所が多い気がします。

12/18の指摘を受けて発表しなかった「正確な情報~混乱を招く恐れがある」の部分は、PCF社の最終報告書受領(1/31)を待っていたということですので、妥当な理由だと思います。

しかし残り5ヶ月の理由として「所轄警察」「カード会社連携」の部分は不可解です。所轄警察への報告は最終報告書受領(1/31)から1週間の(2/6)に完了しています。となると、カード会社連携に4ヶ月半以上かかった計算になります。

この時間差を見ると、本当は事件を隠したかったのではないか・・・と邪推してしまいます。

隠すという観点に立った場合、例えば攻撃を受けた旧サーバが極めて初歩的な脆弱性を突かれたSQLインジェクションか古いOpenSSL等々)ので公表したくなかった、という事もあるかも知れませんし、実は既に非通過型にしていたのが、実装ミス(変なログにカード情報を書き出していた・・・これが今回の脆弱性であった可能性があるかも知れません)でカード情報漏えいまで繋がってしまったので、対応協議が長引いたのかも知れません。

しかし、いずれのにせよ5ヶ月は長すぎます

また被害件数を公表してないのも気になります。PCF社の最終調査報告書には漏えいしたであろうカード件数は出ていたと思います。必要なログが残って無い等々の理由で、件数が不明な場合は・・・PCF社の調査を引用して件数不明であったと発表も出来たはずです。

 

もう1点、気になる部分がありました。

 このたび、弊社が運営するショッピングサイト「CLIE-TOWN 」(https://www.clie.asia/clie-town/)
におきまして、クレジットカード情報を含むお客様の個人情報が、第三者からの不正アクセスにより外部に流出していたことが判明いたしました。

 

1. 対象となるお客様と情報 
2017年3月1日から2017年10月13日の期間内に弊社ECサイトにおいてクレジットカード決済をいただいたお客様が対象となります。
尚、流出した可能性がある情報は以下の通りとなります。

・カード会員氏名
・カード番号、カード有効期限

Clie社リリースより引用)

 

事件経緯の部分では、クレジットカード情報+個人情報が「流出していた事が判明」しています。後段の漏えい情報部分を見るとクレジットとカード情報しか流出対象となっていません

 

単なる記載ミスかも知れませんが、実はクレジットカード情報以外に個人情報漏えいしていたのではないか・・・?そんな風にこのリリースを見てしまいました。

※こうした不整合部分に目が行ってしまうのは・・・単に仕事のし過ぎな気もしますが、広報担当は本来こうした部分までリリースを出す前に気づくべきだと思います。

 

最後に、少し調べてみたら・・・という部分を少し書いてみます。

現在のサイトについては、今回の第三者調査機関による調査において不正アクセス攻撃へ脆弱性について問題がないことが確認されておりますが、クレジットカード決済については、さらなるセキュリティ強化策を行った上で再開する予定です。

Clie社リリースより引用)

調査日が2月以前に完了している関係上、PCF社の確認はその通りなのですが・・・(おそらく懸念指摘はされたと思いますが)現在のサイトでも、6月末がPCIの対応期日であった、SSL/初期TLSの問題(脆弱性)をまだ抱えていると思います。

 

f:id:foxcafelate:20180707094658j:plain

 

恐らく次のASVスキャンは通らないはずです。

(これも公表が遅れすぎた弊害だと思います)

 

 

 

演劇のイラスト

 

更新履歴

  • 2018年7月7日AM(予約投稿)