Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

宅ふぁいる便もAWSを攻められた

考えてみた。 不正アクセス事件

宅ふぁいる便・・・お前もか。以前はよく私も使っていたが故に個人的には非常に残念な発表でした。

www.itmedia.co.jp

 

■公式発表 「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について(お詫びとお願い) 

 

1.漏洩したお客さま情報
(1)内容
宅ふぁいる便」のお客さま情報
メールアドレス、ログインパスワード、生年月日、氏名、性別、業種・職種、居住地(都道府県のみ) 

(2)件数
 約480万件 

2.経緯、原因
・1月22日11時、当社が認識していないファイルが「宅ふぁいる便」サーバー内に作成されていることを確認し、システムを管理している社員およびパートナー企業に確認。
・1月22日13時、社員およびパートナー企業から作成していないとの報告を受け、第三者機関を含めて、原因の究明、被害状況などの調査を開始。
・1月22日19時、宅ふぁいる便」サーバー内に不審なアクセスログを確認。
・1月23日10時50分、情報漏洩などの被害防止のため「宅ふぁいる便」のサービスを停止。
・1月24日20時、当社ウェブサイトにて「『宅ふぁいる便』サービスの一時停止に関するお知らせとお詫び(第一報)」を掲載。
・1月25日15時30分、お客さま情報の漏洩を確認。 

(公式発表より引用)

 

◆キタきつねの所感

公式発表を見ると、、「2.経緯、原因」とあるのですが、原因が書いてません

調査中につき脆弱性の特定までは至ってないのかも知れませんが、第2報なのに推定される不正アクセスの原因が特定できてないのだとすると、運営会社であるオージス総研は、情報システム会社としてのインシデント対応(体制)に問題がある気がします。

 

宅ふぁいる便は(私も漏洩対象ユーザの1名の様ですが)、1999年にサービスを開始した、多くのユーザが使っている(使った経験がある)国内のファイル転送サービスの草分け的な存在です。年間7000万件の利用は国内でもトップクラスではないでしょうか。

 

オージス総研によると、「宅ふぁいる便」は1999年に提供開始、現在は無料の約330万会員、有料の約2万会員が利用する。電子メールへの添付では送りづらい大容量のファイルを、専用ページを利用し、相手に転送することができる仕組み。

産経新聞記事より引用)


現在の無料会員は約330万件で、漏洩した可能性がある最大件数が、約480万件。差分が150万件あると言う事は、現在利用してない過去の会員データまで漏洩しているという事になります。(つまり私の過去の利用で登録したデータも漏洩対象と考えられます)

※過去の会員データまで保有しておく必要性、、果たしてあったのでしょうか?

 

容量ファイル転送サービス「宅ふぁいる便」で一部サーバーが不正アクセスを受け、全登録ユーザー数に相当する480万件の顧客情報が流出したと発表した。ログインに必要な利用者のメールアドレスやパスワード、生年月日などの情報が漏洩した。

同日午後7時からの大阪市内での会見で明らかにした。オージス総研は22日に認識していないファイルがサーバー内にあることを確認。調査を進めたところ不正アクセスと判断し、23日にサービスを停止した。国外からのアクセスの可能性が高いという。会見したオージス総研の小田垣正美常務執行役員は「原因特定を最優先としたい脆弱性をカバーして復旧する」と述べ、再開時期は未定とした。

日経新聞記事より引用)

 

 

基幹(会員DB?)サーバが侵害を受ける、というのは結構深刻な被害だと思います。

 

オージス総研は大阪ガスの情報システム子会社ですが、オージス総研のHPには「情報漏洩のリスク」について、まさにブーメランの様な宣伝文句が掲載されています。

f:id:foxcafelate:20190126164525j:plain

 

 

企業向けの「オフィス宅ふぁいる便」は被害を受けなかった様ですが、無料の宅ふぁいる便だけでなく、宅ふぁいる便ビジネスプラス」も影響を受けたと発表されていますので、

f:id:foxcafelate:20190126165614j:plain

 

(オフィス宅ふぁいる便の宣伝ではありますが、被害を受けたサービスは)、高セキュリティ環境や情報漏えい対策を完備、という部分について、どんな運営・監視体制だったのかなと考えてしまいます。

 

 

調べてみると、被害を受けなかった「オフィス宅ふぁいる便」のインフラセキュリティの説明を見ると、一般的なセキュリティ対策は打たれている様でしたので、被害を受けたサービスとの差は何だったのか?と考えてしまいます。

f:id:foxcafelate:20190126165957j:plain

 

「オフィス宅ふぁいる便は・・・大阪ガスも使っているであろう堅牢なデータセンターで運用されている様です・・・この手のデータセンターで運営していて情報漏えいが発生するとは思えませんが、、、

f:id:foxcafelate:20190126170707j:plain

 

ここまで調べてきて、オージス総研の紹介ページを見ても、宅ふぁいる便」がどこで運用されいるかが分かりません

 

関連ニュース記事をよく見てみると、「オフィス宅ふぁいる便」と「宅ふぁいる便」が別運用されている事が分かりました。

宅ふぁいる便」で送られたデータの漏洩については調査中。また、企業・法人向けの「オフィス宅ふぁいる便」は別のシステムで運用しているため、被害はないという。

毎日新聞記事より引用)

 

更に、調べてみると「宅ふぁいる便」は、AWSを使っている事が分かりました。Googleで「宅ふぁいる便 x AWS」で調べてみると、こんな検索結果が出てきます。

f:id:foxcafelate:20190126172613j:plain

 

ですが、、、紹介ページが・・・消されています

 

f:id:foxcafelate:20190126172725j:plain

 

 

Googleのキャッシュは残っていたので、しつこくみてみますと・・・

 

f:id:foxcafelate:20190126172918j:plain

 

 

宅ふぁいる便AWS移行は、コスト削減が主な目的だった様です。併せてセキュリティ強化を実現した、となっていますが、ページを消した理由は、この辺りにありそうです。

 

概要

無料の大容量ファイル転送サービス宅ふぁいる便」は、サービス基盤としてアマゾンウェブサービス(以下AWS)を採用。データセンターとAWSのハイブリッドクラウド環境での利用から開始し、順次AWSを拡張、全面移行しました。クラウド上のリソースを使うことで急なリソース不足に柔軟に拡張対応可能。ログの可視化や不正アラート通知、日次レポートなどを実施することでクラウド利用のセキュリティ強化も実現しました。

 導入時の検討ポイント

<なぜパブリッククラウド?>
利用状況のピークを見越しつつ、将来的に増加するユーザも考慮すると、オンプレミスでの構築では余裕を持ったシステム構成となり初期費用がかかりすぎるという課題がありました。

そこで、初期費用が安価なパブリッククラウド環境への移行を検討することにしました。パブリッククラウドとしては、社内において実績があるAWSを採用しました。はじめから全面移行はせず、ピーク部分だけをAWSに拡張させるハイブリッドクラウド環境で利用を開始しました。様子を見ながら機能単位で複数のパーツに分けて解放することで、トラブルのリスクを下げつつAWSへ移行しました。

Googleキャッシュの「宅ふぁいる便パブリッククラウドへ全面移行 AWS基盤構築事例ページから引用)

 

 

オージス総研は、自社のみならず他社のAWS導入支援も行っている様ですので、、その影響を考慮したのかも知れません。

f:id:foxcafelate:20190126174106j:plain

f:id:foxcafelate:20190126174221j:plain

基幹(会員DB)システムに不正侵入されてしまった原因(脆弱性)によっては、他社支援をしている場合ではなくなる可能性もありそうですし、コンサルとしての信頼問題にも影響するかも知れません。

 

まだ原因が分からない中で、推測を多分に含みますが、AWSのS3経由の意図しない情報漏えい事件の様な、AWSへのシステム実装ミスの可能性もありそうかな、、、と思います。

 

 

参考:

foxsecurity.hatenablog.com

foxsecurity.hatenablog.com

foxsecurity.hatenablog.com

 

 

è·ç©ãæããééå¡ã®ã¤ã©ã¹ã

更新履歴

  • 2019年1月26日PM(予約投稿)