Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

カナダのパーキングシステムのデータ侵害

サードパーティのソフトウェアが大規模データ侵害を起こすケースは日本でも海外でも同じかも知れません。

nationalpost.com


NB、セントジョン州の6,000人もの人々が個人情報を公開されている可能性があるとアナリストグループは述べた。システム。

同市は、CentralSquare Technologiesが運営するサードパーティのソフトウェア製品Click2Govへの違反について学んだと述べた。製品は顧客に市のウェブサイトを通して駐車券を支払うオプションを与えます

サイバーセキュリティ研究者Stas Alforov氏によると、セントジョンの違反はもっと大きな問題の一部だという。

Gemini Advisoryの研究開発ディレクターであるAlforovの最近の報告によると、同社は2017年以来、北米の46の都市(セントジョンからの約6,000を含む)から30万件近くの支払い記録が漏えいした

セントジョンは、この侵害に関与している唯一のカナダの都市で、残りは米国から来ています。

「われわれの分析によると、すべての違反は同じハッキンググループによって行われた大規模なハッキング操作の一部であり、本質的にはランダムではないということです」とレポートは述べています。

刑事市場から情報を収集し、それを金融機関に提供するGemini Advisoryは、クレジットカード情報の珍しいパターンがオンラインで売り出されていることに気付いたときに、最初に違反の疑いのある部分を調べ始めました。

(National Post記事より引用)※ブラウザの翻訳ツールで機械訳

 

◆キタきつねの所感

最大6000件程のデータ侵害事件を取り上げるべきか迷ったのですが、日本でも便利なパッケージを採用している公的機関は多いかと思います。特にWebから便利な機能を住民に提供している場合・・・ハッカー側から潜在的に狙われやすい事も理解すべきだと思います。

www.superion.com

 

もっとも、海外の場合は、クレジットカード決済も可能だったりするので、決済情報を窃取するという動機も加わります。そうした点では日本の公共サービスは、まだそこまで進んでないので逆に安心な面もあるのですが、キャッシュレス化推進の流れで、自治体もサービス拡充を考えていたとすれば、こうした便利なパッケージソフトを使う事も今後増えていくのではないでしょうか。

 

この事件の発端は、Gemini Advisory社がDarkWeb等のマーケットで毎月1000件程のクレジットカードデータがアップロード(販売)されている事に気づいた所にあります。そのデータを分析していた所、カナダのパーキングシステムにたどり着いたというのが背景の様です。

 

当然最新脅威に応じて『Click2Gov』もアップデートされてきていたはずです。では何故・・・大規模漏洩につながったのか?と疑問に思ったのですが、National Postの記事にはそれを推測させる部分がありました。

 

CentralSquareテクノロジーズが常に違反を即座に認識しているわけではないと述べました。同氏は、以前、影響を受けたシステムはすべてローカルにホストされておりクラウドベースのソフトウェアは影響を受けていないと同社が以前に言っていたことを付け加えた。

Alforov氏によると、同社はこのシステムにもパッチを適用していたが、それでも脆弱性は残っているという。

(National Post記事より引用)※ブラウザの翻訳ツールで機械訳

 

クラウドベースのソフトウェアに対する開発元(Central Squareテクノロジーズ)の過信・・ともとれる内容がありました。ほとんどのユーザがローカルホスト(オンプレミス)の機能を使っており、クラウド側は開発当時の意識のまま、安全と判断していたのではないでしょうか。

一般的にWeb(クラウド)に面している部分は攻撃を受けやすく、その脆弱性を突いた攻撃は日々進化します。そうした中で多くの自治体からのサービス代行を行っている事業者(開発元)は、もう少し慎重に脆弱性テストを定期的に行うべきだったのではないかなと思います。

 

é§è»å ´ã®ã¤ã©ã¹ã

 

更新履歴

  • 2018年12月23日PM(予約投稿)