Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

British Airwaysのカード情報流出は深刻かも知れない。

British Airwaysの情報漏えい事件、日本でも報じられていましたが、漏洩原因を考えるとかなり問題が拡大する恐れがあり、英国内を中心に色々なコメントが出てきています。

www.itmedia.co.jp

■公式発表

f:id:foxcafelate:20180908154201j:plain

 

◆キタきつねの所感

ウェブサイトとモバイルアプリが8/21夜~9/5までにWebサイトやモバイルアプリを使って予約したユーザのクレジットカードを含む個人情報が最大38万件、不正アクセスにより漏えいした疑いがある、という事件概要ですが、最近はよく聞く不正アクセス・・と思う方も多いかも知れません。

日本の記事も第1報として事件の概要を伝えていますが、追加記事が出てくる気配は(今のところ)ありません。

 

The Gardianは、複数の記事を上げていますが、気になる文章がありました。

www.theguardian.com

The credit card details of 380,000 British Airways customers could already be on sale on the internet after the airline suffered a “malicious” data breach, experts have warned.

Customers were scrambling to change their credit card details on Friday, after BA said it was investigating the theft of passengers’ financial data from its website and app over a two-week period between 21 August and 5 September. The airline said it would compensate passengers for any losses, signalling the potential for large payouts, given the number of customers affected.

But cybersecurity experts said the customer information, including key security data such as the three-digit CVV code on the back of credit cards, might already have been traded on the dark web, a secretive layer of the internet frequently used by criminals. Paul Lipman, chief executive of cybersecurity company Bullguard, said customers’ credit data was “almost certainly up for sale on the dark web as we speak”.

(The Gardian記事より引用)

公式発表には書かれてないのですが、(漏洩した疑いのある)顧客向けの情報には、セキュリティコード(CVVコード)も漏洩対象として含まれており、既にダークウェブで個人情報が販売されているかも知れないとあると報じています。

カード漏洩件数として38万件というのは、劇的に多いという訳ではありませんが、航空会社の(クレジットカードを登録する)会員は「優良会員」であり、カード限度額も多い事が予想されます。上記記事には、専門家の見立てとして、その情報価値は£20百万(※約28億円)はあると書いています。

British Airways(BA)から漏洩したデータについては、

The online theft saw details stolen including name, email address and credit card information, including the CVV code. BA has said that its encryption was not breached but that the hackers used other “very sophisticated” methods.

(The Gardian記事より引用)

BAは、氏名、住所、カード情報(セキュリティコード)を含むが、Webやモバイルアプリの暗号化が破られて訳ではなく『非常に洗練された方法』(APT攻撃)ハッカーは使ったと言っているようです。

具体的な侵入手口についてはまだ情報が出てきていませんが、BAのデータベースへの直接的な侵害というよりは、例えばカード情報を入力する画面(そこでセキュリティコードを入力しているのであればですが)から別ルートで情報が漏洩していたり、予約サイトやサービスプロバイダー等の経由ルート辺りが怪しいのではないか・・・等々、色々と推測が出ていますが、

普通にIDとパスワードが破られて会員サイトから個人情報が不正に閲覧された・・・といった所謂、日本でも数多く被害が報告されているパスワードリスト攻撃ではない、という事であり、セキュリティがある程度しっかりとしていると思われるBAがセキュリティコードまで漏洩する『洗練された攻撃』なるものは、別な企業サイトへの攻撃でも成功する可能性があると考えて、対岸の火事ではなく、この事件の詳細を分析するべきなのではないでしょうか。

 

また、別な視点で言えば、GDPRが5月に施行されて初めてといっても良い、大型の漏洩事件であり、恐らく・・・BAのGDPR対応/事件対応(訴訟も含む)についても、日本企業はよくウォッチしておくべきかも知れません。

 

最後に・・・下記の風刺画、私は結構好きでした。ご参考まで。

www.theguardian.com

飛行機を乗り過ごした人のイラスト

 

更新履歴

  • 2018年9月7日PM(予約投稿)