Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

地方も攻撃対象であるのは変わりはない

また不正アクセスで個人情報が漏洩したようです。

www.nikkei.com

九州を中心に薬局チェーン「ドラッグイレブン」を展開するJR九州ドラッグイレブン(福岡県大野城市)は10日、外部からの不正アクセスにより最大で約3万4千人分の個人情報が流出した可能性があると発表した。

流出したのは、ホームページ(HP)を通じて募ったメールマガジンの会員や、信販売の利用客の氏名、住所、電話番号などの情報。クレジットカードに関する情報は含まれていないとしている。

HPが改ざんされているとの指摘を外部から受け不正アクセスを把握しサイトを閉鎖した。

日経新聞記事より引用)

 

◆キタきつねの所感

どんな感じかなぁとドラッグイレブンホームページを見に行ったのですが、

ただいまサイトのメンテナンス中です。
ご不便をおかけし恐れ入りますが完了まで今しばらくお待ちください。

当然の事ながら閉鎖中でした。

漏洩した可能性がある情報から考えるとWebサーバ経由で内部のDBサーバに入られたのかなぁと思います。Googleにキャッシュが残っていたので、少し掲載されているページを見てみたのですが、一部ページでHTTPSが使われているようですが、トップページを含みHTTPで構築されていたので、脆弱な部分を攻められて内部に侵入されたようです。

クレジットカード決済の部分は、GMO-PGだったようですが、特に今回はカード情報漏えいまではなかったとの発表ですが、Webページ改ざんまでやられているので、SOKAオンラインや伊織における(推定)攻撃が仕掛けられたとしたら、実はカード情報も危なかったのかなと思います。

どんな脆弱性を突かれたのかが個人的に気になる所ですが、公式サイトが閉鎖されていて、親会社であるJR九州ニュースリリースページを見ても掲載が特に無さそうなので、続報待ち・・です。

 

尚、日経記事によれば

既に警察に届け出て、事実関係を調査した上でセキュリティー対策を実施するという。

同社は「事態を厳粛に受け止め、再発防止に取り組む」とのコメントを発表した。

日経新聞記事より引用)

とありますが、Web脆弱性診断であったり、Web改ざん検知、あるいはWAF導入といったセキュリティ対策については、推定になりますがおそらく何もやってこなかった結果がこの事件であろうと思います。

セミナー等々、私も地方の企業の方々とお話する事もありますが、どちらかと言えば「東京などの大手企業ではないので・・・」という感覚で、”狙われる価値が無い”と思っている方が正直多数派な印象です。しかし攻撃手法が”一般化”(ブラックマーケットに行けばそれこそ小学生でも攻撃ツールを入手できてしまう・・・)しつつある中では、過去と同じ認識では危ない気がします。

地方企業であっても狙われる可能性は十分にある。そうした事をこの事件は教えてくれているのだと思います。

 

 

 

è¬å±ã»ãã©ãã°ã¹ãã¢ã®ã¤ã©ã¹ã

 

更新履歴

  • 2018年11月12日AM(予約投稿)