Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

例外運用はセキュリティホールになりやすい

モスバーガーの北海道でのFC店舗展開をしているフジタコーポレーションが個人情報を意図しない形で公開していたと発表してました。

www.security-next.com

■公式発表

 個人情報閲覧の可能性に関するお詫びとお知らせ

 

2. 経緯

2018年8月29日(水)18時56分にモスチキンの販売管理に使用していたご注文者の個人情報がインターネット上で閲覧できると、お客さまよりフランチャイザーである株式会社モスフードサービスを通じて弊社にあり、調査を行った結果、当該個人情報がインターネット上で閲覧可能であることが判明いたしました。
 同日20時25分にサーバー上から個人情報を含むサイトデータを削除し、閲覧できないことを確認いたしました。
 これまでの調査で、個人情報を削除した8月29日までに該当ページへの外部からのアクセス件数は1件のみであります。

(公式発表より引用)

 

◆キタきつねの所感

事件自体は、”個人情報漏洩”が事実上起きたわけでなく店舗運営側の設定ミスを、お客様に見つけられてしまってフランチャイジーからお叱りを受けた、程度の内容です。

実害としても、恐らく店舗運営側の意図しない情報公開を見つけてしまった”お客様”1人のアクセスしか無かった可能性が高いので、不正アクセスの実害はほぼなかったものと思われます。

しかし、公式発表は、他の漏洩事件に比べると比較的丁寧に書かれていたので、色々と考えさせられる(他者に参考になりそうな)部分がありました。

 

まずは、この部分

1.閲覧できる状態にあった個人情報
2015年11月16日から2015年12月18日、2016年11月14日から2016年12月20日、2017年11月15日から2017年12月20日の各期間、北海道内のモスバーガー「苫小牧店」「苫小牧バイパス店」「伊達店」「モルエ中島店」「苫小牧柳町店」においてモスチキンをFAXにて予約購入いただいたお客様の下記情報619件
  ・「氏名または法人名」、「住所」、「電話番号」、「ご注文内容」、「ご注文金額」
  その他のお客様情報は含まれておりません。

(公式発表より引用)

モスバーガー『モスチキン』をFAX予約購入・・・つまり、クリスマス予約だったのが推測されます。

 

モスバーガーの公式HPを調べてみると、普段はテレフォンオーダーかネット注文かしかないので、クリスマス特別対応(=例外運用)だったのが分かります。

f:id:foxcafelate:20180901192853j:plain

 

ここで考えられる問題点は、

  • 3年分もクリスマス注文情報を保存しておく必要はあったのか?

   (クリスマス販売が終わってデータを保存しておくべき理由が分かりません)

  • FAX内容をデータ化したもの・・・つまりExcel的な表データであった可能性が高いのですが・・・ファイル暗号化(読み取りパスワード)しておけば問題にならずに済んだのではないか?

 

という所ですが、公式発表をもう少し見てみると、

3.原因と再発防止への対応について
 弊社内において期間中のご予約状況の情報共有のため該当サイトを設置をしておりましたが、外部からのアクセスに対し十分な対策がなされていなかったことが原因であります。今後につきましては、大切なお客さまの情報を流出のおそれにさらした今回の事態を重く受け止め弊社サイトへの定期的なチェックを徹底し、同システムのセキュリティ強度を高めることで再発防止に全力を尽くしてまいります。

(公式発表より引用)

予約状況の店舗間での情報共有の為にデータをおいてとあります。8月29日にお客様から指摘を受けた事から考えると、去年12月のクリスマス予約情報を、予約販売が終わって9ヶ月保存しておく理由もありませんし、ましてや過去年の予約状況を残しておく(販売数等の結果データではなく、個人情報を入れたファイルをわざわざ残しておく)理由がまったく記されていません。

また、外部からアクセスが出来た事から考えるとGoogleドライブ』『OneDrive』『DropBox』等々の共有ストレージサービスを使っていたのかと推測しますが、今回の事件が表ざたになった直接的な原因となった閲覧設定(パスワード等)がかけれられてなかったのであれば、この会社では、他の業務での重要情報が意図しない公開状態であった(ある)可能性もありえそうです。

 

この事件の公式発表を見ていて、AWS設定ミスが特に海外で頻発している事件を思い浮かべました。大きな事件にはなりませんでしたが、FCのこうした運用実態については、他地域でのFCにも同じ潜在リスクがあるのではないかと思います。

 

勝手な推測ですが、予約状況を店舗間で共有する必要性は何だろうと考えると、店舗マネージャーの競争意識を煽るため、つまり・・・企業トップ(社長)が各店舗の予約状況を厳しい目で監督する(指示する)為に作られれた電子データなのかと思いました。

この想像があっているとすると、企業の上層部の方にパスワード付きのファイルを開けさせるのにもハードルがありそうなので、、、結果的に平文ファイルだった、と考えたらしっくりきました。

 

 

foxsecurity.hatenablog.com

foxsecurity.hatenablog.com

 

 

ハンバーガーのイラスト

 

更新履歴

  • 2018年9月1日PM(予約投稿)