Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

メジカルビューへの不正アクセス

10/12にメジカルビュー社が外部からの不正アクセスを受け会員メールアドレスとパスワードが流出した事を発表しました。

f:id:foxcafelate:20181014191023j:plain

 

■公式発表

メジカルビュー社|会員メールアドレスおよびパスワード情報流出のお詫びとご報告

 

■流出した情報
 メジカルビュー社会員登録の一部の方のメールアドレスおよびパスワード

(公式発表より引用)

 

◆キタきつねの所感

調査中という事で、不正アクセスの手法だったり、何件が被害を受けたのかについては書かれていません。パスワードリスト攻撃なのかどうかも分かりませんが、メールアドレスや付随する会員情報を不正に閲覧されたという書き方ではなく、「メールアドレス」と「パスワード」が流出した、という記載がとても気になりました。

 

ここを推測できそうなヒントは、同じく公式発表の中にありました。

■会員様へのお願い
他のサイトでも同じパスワードをご使用中の場合は、大変お手数ではございますがご変更いただきたく、お願い申し上げます。
2018年10月11日付けで弊社ウェブサイトでのご購入の会員様のログイン(ご住所の呼び出し)機能部分は閉鎖いたしました。安全を確認次第公開してご連絡申しあげます。弊社ウェブサイトの会員登録のパスワードの変更は、その後行っていただきますようお願い申し上げます。

(公式発表より引用)

「ご住所の呼び出し」機能を停止しています。この部分がどういった機能であったのかは分かりませんが、会員の利便性を高めるために例えば、郵便番号を入れたら住所が出てくるような入力補助機能や、予想変換機能のようなものが入力欄にあったのかのかな?と感じました。 

 ※単なる推測ですので間違っているかも知れません

こうした機能があった場合、メールアドレスや「パスワード」まで不正取得が出来てしまうとすると、SQLインジェクション攻撃のようなインジェクション系か、ディレクトリートラバーサル系の脆弱性があったのかな?と推測します。

 

もう1点気になったのが、BASIC認証を使っている事でしょうか。これだけで必ずしも安全ではないとはいいませんが、Digest認証の方が最近は主流な気がしますので、、

f:id:foxcafelate:20181014192708j:plain

この会員サイトの作り方(BASIC認証以外の)部分で、何か弱い所があったのかな?と思います。

 

 

お辞儀をしている医者のイラスト

 

更新履歴

  • 2018年10月14日PM(予約投稿)