Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

米HSBCのデータ漏洩事件

何故か記事を書いている時点(11/10)で日本のメディアに関連記事がありませんが、米国のHSBC(香港上海銀行)がデータ侵害を受けて顧客情報を漏えいしたようです。

www.bbc.com

The lender said that the perpetrators may have accessed information including account numbers and balances, statement and transaction histories and payee details, as well as users' names, addresses and dates of birth.

The BBC understands the firm believes that fewer than 1% of its American clients were affected.

(BBC記事より引用)

◆キタきつねの所感

世界で7-8番目に大きいメガバンクHSBC香港上海銀行)が漏洩事件、、日本だと三菱UFJ銀行みずほ銀行三井住友銀行あたりが顧客情報を漏えいしたという事件です。米国のニュースサイトでは関連ニュースが結構上がっているのですが、、、米国で新たな銃乱射事件があったためなのか、日本語の記事はほぼありません。

日本でももう少しニュースになっても良いのではないでしょうか?

とは言えBBCによると、米国顧客の1%以下が影響を受けたということなので大量のデータ漏洩という訳ではなかったようです。漏洩データの中身は、口座番号、残高、取引履歴、支払い先情報、住所、生年月日、電話番号、メールアドレスといった所です。

 

元ソースは、どうやら California’s Attorney General Office(カリフォルニア州司法省)が11月2日に発表したデータ漏洩時のテンプレートが元のようです。

f:id:foxcafelate:20181110135013j:plain

こちらを読むと、10月4日~10月14日にかけて顧客アカウント(の一部)に不正アクセスを受けたとあります。なので約10日不正アクセスHSBCは気づけなかった事になります。

 

どうやって不正アクセスを受けたかについては、あまり書かれていないのですが、別な海外記事では、

HSBC customer accounts compromised in data breach - MarketWatch

“This is typical for account takeovers due to credential stuffing and, with over 7 billion credential records spilled since 2015, it’s reasonable to assume this could happen to just about anybody,” Overson said.

アカウント乗っ取りは、別な所で漏洩したデータが使われた可能性が高いと推測している専門家がいました。2015年から(全世界で)70億件以上のデータが漏洩しているのだから、HSBCの今回の被害者だけではなく全ての人に起こりえる、と書かれている所も注目すべきかも知れません。

 

HSBCの米国での顧客は140万人程度と言われていますので、今回被害を受けたのは1万件程度と見なすことができるかも知れません。

攻撃手法については、おそらく漏洩したIDや、パスワード等の使いまわしを原因とする不正アクセスであると思われます。HSBCは2要素認証を導入して無かったの?と思いますが、被害を受けた方は「IDとパス」だけでログインしていた可能性もありそうです。そうした意味では、日本でも起こりえる攻撃として警戒すべきかも知れません。

 

海の中の巨大生物のイラスト

 

更新履歴

  • 2018年11月10日PM(予約投稿)