Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

宅ふぁいる便への不正アクセスの影響

宅ふぁいる便について、漏洩したパスワードが平文だった事、個人情報の種類が当初発表以上に広がっている事が報じられていました。

www.jiji.com

 

大阪ガス子会社オージス総研(大阪市)が提供するファイル転送サービス「宅ふぁいる便」の会員情報約480万人分が、不正アクセス被害を受けて流出した。暗号化されていない状態のパスワードなども含まれることから、同社の情報管理の甘さを指摘する声がある一方、専門家は「パスワードの使い回しをやめるなど自己防衛も心掛けて」と利用者に対しても注意を促している。
 宅ふぁいる便は、画像や動画などメールで送れない大量データを転送するサービス。無料で利用でき、仕事で使っている人も多いとみられる。
 退会者を含む会員の名前や生年月日に加え、ログインに必要なメールアドレスやパスワードも流出した。パスワードは暗号化されずに管理されており、ITジャーナリストの三上洋氏は「かなり古い仕組み。ここ15年くらいで一番ひどい被害だ」と指摘する。

(jiji.com記事より引用)

 

◆キタきつねの所感

2/1現在、公式発表は第3報まで出ていますが、ログインパスワードが暗号化されてなかった(平文だった)部分については、記載がありません。アレと思って調べてみると、ひっそりとQAに書かれていました。

f:id:foxcafelate:20190201201802j:plain

 

もしかすると、事件の影響範囲を小さく見せようとする目的があったのかも知れませんが、三上さんのコメントもあってか、すぐに報道されましたので意図があったのだとすると、成功したとは言えないかも知れません。

また、公式発表(第3報)にある、

 f:id:foxcafelate:20190201202751j:plain

 

二次被害の部分が今の時点では無いという部分は、平文パスワードが数百万件漏洩したという事実から考えると、今後じわじわと影響が出てくる(パスワードの使いまわし攻撃で使わてしまう)のではないかなと思います。

 

もう1つ気になる記事を読みました。

www.fnn.jp

 

――なぜログインパスワードは暗号化されていなかった?

宅ふぁいる便は20年ぐらい前から動いているサービスで最初から暗号化はされていませんでしたが、いつか暗号化しなければならないという予定はありました
ただサービスが大きいことと資源の問題などもあったため、計画を立ているところで今回の漏えいが起きてしまいました。

(FNN記事より引用)

 

予定がありました計画を立てているところでした・・・。この回答は事件対応としては模範解答例なのかも知れませんが、要は『やってませんでした』『自社で起きるとは思ってませんでした』と同義な気がします。

規模が大きいかったとしても、20年やらなくて良い理由にはならないのではないでしょうか?

 

宅ふぁいる便AWSに移行した時期はわかりませんが、移行時には少なくてもこうしたセキュリティの脆弱性は改善できたはずです。システムリプレイスやクラウド移行時にやらないで、いつやるつもりだったのでしょうか???

 

平文パスワード保存ばかりが攻めらている感がありますが、私はどうやって侵入されたかが非常に気になります。0ディ攻撃やAPT攻撃だった可能性もあるのだと思いますが、AWS実装として、他社の気をつけるべきポイントとなると思うだけに、出来れば公式発表の続報で、侵入経緯を説明して欲しいと、漏洩対象の1ユーザとして思います。

 

さて、、前回の記事(1/28)、相当感心が高い人が多かった様で、非常に多くのアクセスがありました。2日間で15,000アクセス位ありました。(普段は100-300アクセス/日程度なのですが・・)根岸さんらにコメントを頂いた年始の『私のセキュリティ情報収集法を整理してみた。記事でも2,500アクセスでしたので、多くのユーザが居た宅ふぁいる便に対する関心を非常に強く感じました。

 

併せて、多くのユーザが利用するからこそ、セキュリティ対策を怠ると一瞬にして信用が無くなってしまう可能性がある事を、多くの企業に知らしめた事件となってしまった気がします。

 

f:id:foxcafelate:20190201200950j:plain

f:id:foxcafelate:20190201201008j:plain



 

 è¾ããã«è·ç©ãéã¶ééå¡ã®ã¤ã©ã¹ãï¼ç·æ§ï¼

 

 

 

更新履歴

  • 2019年2月1日PM(予約投稿)