Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

フレーバーライフの情報漏えい

通販ニュースにフレーバーライフ社が個人情報1万件を漏えいした件が出ていました。

www.tsuhannews.jp

■公式発表

 弊社提携外部サーバーへの不正侵入について

 

f:id:foxcafelate:20180715111332j:plain

 
事件の状況 
  • 2018年6月28日未明に不正アクセスを受け11,156件のお客様個人情報が漏えいした可能性がある
  • 流出した可能性のある個人情報
    • 氏名
    • 性別
    • 生年月日(任意の登録項目)
    • 住所
    • 電話番号
    • メールアドレス
    • パスワード
    • 利用履歴
    • お問い合わせなどの受信メール(2018年6月13日~6月27日)
  • クレジットカード情報(流出は無い事が判明)

 

 

原因

  • 問い合わせ等のお客様からの入力が出来るコンテンツから侵入されたと推測される
  • (侵入後)データアクセスの最高権限に侵入され、データの読み書きが可能な状態となり、その後サーバ内の残存データも改ざんされた

 

再発防止策

  • 警視庁サイバー犯罪対策課および情報管理コンサルティング会社との連動による原因解明と再発防止策の検討と実施
  • システムの脆弱性の検証と対策
  • 不正侵入を困難にするシステムの構築

 

◆キタきつねの所感

個人情報漏えい事件となりますが、かなり久しぶりに侵入部分が事件報告書に書かれていました※私はこれが本来あるべき事故報告だと思います)事件発生が6月末ですぐにサーバ接続を停止、別環境のサーバでホームページの閲覧(事件報告)のみを可能とし、事件発表が7/13と・・・時系列を見ても、短期間に事件を調査し公表しています。

 

しかし、リリースを読んでいて、何点かひっかかった点があります。

まず単純なところでは、パスワードも漏えいしているのですが、漏えいしたパスワードデータ平文?暗号(ハッシュ)化?という所は、他サイトでのパスワード使いまわしをしているユーザが多いだけに気になりました。

 

フレーバーライフのホームページ上では

1) パスワード変更
お客様の弊社に登録されているパスワードがWeb 上の他のサイトのサービスと同一のパスワードである場合、悪用される可能性がございます

安全性の見地から、お手数ですが、他のサービスに登録されているパスワードのご変更をお勧めいたします。

また、不審なメールを開封しない等のご注意も併せてお願いいたします。

(公式リリースより引用)

とあるので、平文だったと推測します。だとすれば、フレーバーライフ社のセキュリティ実装の不備を問われても仕方がないと思います。

 

2点目は、侵入経路です。今回の侵入経路は、「お客様の問い合わせコンテンツ」つまり入力フォームからだとされています。普通にありそうなのが、SQL等のインジェクション攻撃XSSクロスサイトスクリプティング)攻撃あたりです。

その後の管理者権限奪取やデータ(ログ)改変を考えると、フレーバーライフ社が問い合わせフォームにつかっていた(外部)プログラムに重大な脆弱性があったという可能性もありえそうです。

4.侵入の経緯
 不正侵入及びデータ流出が確認された後、サーバー管理会社と共同で調査したところ26日より、不正と思われるアクセスが開始されていました。
 侵入経路は、問い合わせ等のお客様からの入力ができるコンテンツからと推測されます。
 その後データアクセスの最高権限に侵入され、データの読み書きが可能な状態となり、その後サーバー内の残存データも改ざんされております。

(公式リリースより引用)

 

※余談ですが「データアクセスの最高権限に侵入」は、その後の文脈から、管理者権限の奪取であろうと思って読んだのですが、よく考えると意味不明な表現かも知れません。

 

公式リリースから読み解ける情報がもう1つあります。

3.クレジットカード情報について
 クレジットカード情報の流出の可能性を調査しておりましたが、その結果、今回の流出はないと判明いたしました。
 弊社ではEC サイト(ショッピングページ)上のクレジットカード利用につきましては、決済代行会社2 社を利用しております両社に対し調査依頼をしたところ、カード決済情報はサーバー上に保存されていない事が判明しました。

(公式リリースより引用)

クレジットカード情報を決済代行会社に委ねている、つまり実行計画上の「カード情報非保持」加盟店であったという事です。勿論JavaScriptかリンク型の非保持ソリューションを実装している事自体は何も問題ありません。

しかし、カード情報非保持=安全ではなく、自社で個人情報を保持しているのであればWebサイトに対して定期的な脆弱性スキャンを行うべきだったのではないでしょうか。今回侵入されたと推測される脆弱点、つまりインジェクション系あるいは、XSSであれば、ASVスキャン又はWeb脆弱性スキャンで見つかった可能性は高いかと思います。

 

そうした意味では、問い合わせフォームといった勝手口を攻められたのだとしても、脇が甘かったのではないでしょうか。

 

 

落とし穴に落ちる人のイラスト

 

 

更新履歴

  • 2018年7月15日AM(予約投稿)