Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

ダイドードリンコの不正アクセス

ダイドードリンコ不正アクセスによる個人情報閲覧が報じられていました。

www.security-next.com

 

11月21日に不審なメールが届いたとの連絡が外部から寄せられ、調査したところ、ダイドードリンコ新卒採用活動で使用しているメールアカウントが関係ない第三者によって不正にログインされていたことが判明した。

問題のメールアカウントでは、中国語や英語で表記されたメール115件が外部へ送信されていた。

あわせて同アカウント内に保存されていた個人情報が閲覧された可能性がある。新卒採用候補者最大1023人の氏名や住所、電話番号、メールアドレス、メール本文のほか、同社グループの従業員993人の氏名や業務用メールアドレスなどが含まれる。

(Security Next記事より引用)

 

■公式発表 メールアカウントへの不正ログインに関するお詫びとお知らせ 

 

◆キタきつねの所感

最近ではよくあるといっても過言ではない、不正にアカウントを乗っ取られて、迷惑メールの踏み台に使われる事件です。珍しいなと思うのは、飲料メーカーで公表されたケースはあまり記憶にないという部分でしょうか。

 

事件の原因については、公式発表を見るとはっきりと書いていました。

3.発生原因
新卒採用活動時に使用していたメールアカウントのパスワードが簡易な設定であったため

(公式発表より引用)

 

これだけ不正アクセス事件が発生しているのだから、従業員への『パスワード』啓蒙という点ではまだまだ改善の余地がある企業が多い、そう捕らえる事もできるでしょうし、パスワードで守るには限界があると考える事もできるでしょう。

※少し古いWSJの記事ですが、安直にパスワードにセキュリティを寄せすぎるべきではないと、こうした記事を読むと理解が深まるかも知れません。

jp.wsj.com

 

ダイドードリンコが(メールシステム)に不正アクセスを受けた部分、事件記事、あるいは公式発表を読んでいて分からないところがありました

余談ですが、普通の方であれば『あぁパスワードの脆弱性だったんだ』で終わりで良いと思うのですが、セキュリティ側の方々であれば、『どうして事件は起きたのか?』と疑問を持つようにならないと、本質を見誤る事があるかも知れません。

 

以下、推測を多分に含みます

まず疑問に思ったのが、不正アクセスを受けた点です。これは当該担当者が、外部からメールシステムに入れる様になっていたと考えるのが自然です。(※注:別に外部から入れるのが悪いことではありません)

この際、例えばOffice365であったり、Gmailであったりの外部クラウドのメールアドレス(システム)を使う事もあるかと思いますが、新卒採用のアカウントが侵害を受けていますので、学生向けに正しい企業アカウントからメールを出す必要があります。なので今回侵害を受けたメールアドレスのドメインは『dydo-ghd.co.jp』が使われていたものと推測されます。

 

この手の侵害事件では、クラウドあるいは外部から接続できるメールアドレスは、同じ攻撃手口で狙われ、不正侵入が出来たアカウントを通じて迷惑メールの踏み台として使われる事が多いです。(直近の記事では、新潟大学のケースがあります)

まず最初の疑問は、なぜ侵害を受けたのが1件だけだったのだろうか?という点。いくつかの可能性が考えられます。例えば、

  1. 他の社員は、外部からのメールシステムへのアクセスに適切なセキュリティ対策がされていた(2要素認証、IPアドレス制限、電子証明書、リスクベース認証等)
  2. 他の社員は、外部からのメールシステムへのアクセスが禁止されていた
  3. 他の社員は全てパスワードが強固、あるいはメールアドレス(ID)が漏洩してかったので、外部からメールシステムへ不正侵入できなかった

1は・・・そうあって欲しいのですが、多要素認証が会社として採用されていた場合に、人事総務部門だけ低いセキュリティが許されていたとすると、ITガバナンスが効いてなかった事になりますので可能性は低い気がします。

2は人事総務部門だけが外部からのアクセス権を持っていた想定ですが、従業員数(連結)が3,771名いる企業としては、他の部門も当然メールを見る業務が多いと思いますので、あまり考えられません。

※1と2の代替運用として、例えば携帯メールだけセキュリティがしっかりしたシステムで運用されていた可能性もあるかと思いますが、ガラケーならいざ知らず、最近のスマートフォンはPCと同様な機能を持ちますので、新卒採用の部門だけにセキュリティの低いPC等のアクセス権を付与する理由としては弱い気がします。

消去法で、この3ケースの中では3かなと思う訳ですが、採用担当のアドレスは、採用希望者・面接者とコンタクトを取る必要があるので、そのIDが外部に公開されやすい(漏洩しやすい)性質があります

ホームページやリクナビ等を見る限りでは、当該メールアドレスが公開されていた形跡はありませんが、長年同じIDを使っていたであろう事も含めると、IDが、例えば過去の採用希望者(落ちた)から漏洩した可能性は十分にあると思います。

 

ここで次の疑問です。

 

IDは分かった。パスワードは適当に試したら当たった・・・・これで攻撃は成立しそうなのですが、、、どうやって攻撃者は、ダイドードリンコのメールシステム『ログイン口』を知ったのでしょうか?

 

ホームページに社外用のメールログインが出来そうな場所は(当然)見当たりませんでした。

ではどんな可能性があるかと考えると、今回侵害を受けた総務人事部門のメールアドレスが最初にマルウェアを踏んで、隠していた社内メールシステムへのログインページが窃取された、あるいはダイドードリンコが外部のクラウドを使っていた可能性が疑わしいところでしょうか。(勝手な推測となります)

 

だとすれば、今回の事件への再発防止策としてダイドードリンコが発表している中では、

4.実施対策と再発防止策
当社では本件発覚後、直ちに該当メールアカウントの使用を中止し、現在は情報を閲覧できない状態になっています。
また今後は、再発防止に向けてシステムのセキュリティ対策を強化するとともに、パスワードの設定等の社員教育を徹底してまいります。

(公式発表より引用)

 

システムへのセキュリティ対策強化の中身が問われるかも知れません。

当面はパスワード強化で良いのですが、システム投資が必要となる可能性が高い、(メール)システムのセキュリティ対策強化については先送りされる事が多々あります。

上記の推測の範疇であれば、パスワード強化しても、他のサイトとパスワードを使いまわしをしている事を(システム上)会社側は気づけないのですから、リスクは残ります。

なので、対象となる外部からのメールアクセスが人事総務部門だけでなく、全社的なものであるならば3700人を超える社員への教育と共に、多要素認証などの実装を急ぐべきでないかなと思います。

 

 

å½ããä»ãã®èªå販売æ©ã®ã¤ã©ã¹ã

 

更新履歴

  • 2018年12月15日AM(予約投稿)