Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

Typeformユーザの情報漏えい(アオイゼミ)

Security nextにZ会グループが去年11月に買収したアオイゼミが個人情報を漏えいしていた事を報じてました。

www.security-next.com

■公式リリース

 お客様情報の流出に関するお詫びとお知らせ – 株式会社葵

 June 2018 Data Breach

 

 

www.bleepingcomputer.com

 

事件の状況 
  • 2017年5月8日~2018年3月9日までに実施した13アンケートの回答データ5,461件(内131件には個人情報が含まれていた)
  • 流出情報はユーザID、デバイス情報、生徒や保護者の氏名、電話番号、メールアドレス、一部相談内容

原因

  • 外部の第三者不正アクセスにより、2018年5月3日時点の一部のバックアップファイルがダウンロードされた事が確認されている

再発防止策

  • Typeform社は原因となる部分の対策を6月27日(情報漏えい把握と同日)に実施済
  • 安全性が確認されるまでTypeformを用いたアンケートの実施を中止
  • Typeformの継続利用が不適切と判断された場合は、別サービスへの乗り換えや自社開発で対応

 

 

◆キタきつねの所感

Typeform社はスペインのバルセロナが本社です。そうした意味では(GDPRの対象かどうかはさておき)国外サーバに保管される個人情報について、あるいは委託先のセキュリティ体制について自社として適切なのかどうかを改めて考える必要がある企業は多いかも知れません。

Typeform自体は非常に評判が良いサービスで、全世界で3000社の有償ユーザが居る(無償ユーザはさらに多い)とされています。その中にはApple, Uber, Facebook, Airbnb, Forbes等も含まれており、日本企業はデータが出てこないので分かりませんが、2013年から日本語化もしている様で、もしかするとアオイゼミ以外にも被害を受けた企業があるかも知れません。

海外のニュースサイトを見ると、英国のモバイルバンキングサービスを展開するMonzoが約2万件の漏えい被害を発表していますし、タスマニア選挙委員会(Tasmanian Electroral Commission)も事件被害を受けた事を発表しています。他にも、Thriva, Birdseye, HackUPC, Ocean Protocolが被害を受けているようです。

 

サードパーティ管理、あるいは国外での情報保管以外の観点で気になったのが、狙われたのがバックアップファイルという事です。

 

ハッカーがどのようにTypeformのサーバに侵入できたのかについては、フォレンジック調査中のためという事もあり、開示されていませんが、ネットワーク侵入後に、バックアップファイルへアクセスできているという事から、バックアップデータの保管が、「テープメディアではない」事が推測できます。

 

だとすれば、ネットワークが常時つながった状態のNAS等でバックアップ運用がされていた可能性が高いのではないでしょうか。この事件は・・・インディアナ州の病院がランサム被害を受けた際にバックアップデータまで暗号化された事件と少し似ている気がします。

foxsecurity.hatenablog.com

今回少なくても数社が、個人情報漏えいしたとリリースを出している訳ですから、Hancock病院の事件とは、1点だけ違うところがありそうです。それは・・・バックアップデータが平文保管されていたであろう事です。暗号化すべきだった・・・というのは、もしかすると言いすぎなのかも知れませんが、他社の個人情報を(海外サーバで)保管する企業としては、あるいはGDPRの対象となる可能性がある企業としては、Typeform社には(データは侵害されないとの)過信があったのではないでしょうか。

 

データが飛んだ人のイラスト

 

更新履歴

  • 2018年7月8日PM(予約投稿)