Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

アンとケイトの「お詫びとお知らせ」を深読みしてみた

考えてみた。 不正アクセス事件

ネットリサーチサービス「アンとケイト」から約77万件の個人情報が漏洩したと報道されていました。

scan.netsecurity.ne.jp

 

株式会社マーケティングアプリケーションズは5月22日、同社が提供するアンケートモニターサービス「アンとケイト」に係るサーバーに第三者からの不正アクセスがあり顧客情報の流出が判明したと発表した。

同社では現在、同サービスに係るシステムを全停止し、外部からアクセスができない対策を実施している。また、不正アクセスの経緯については現在調査中で、調査結果をもとに今後の対策を講じるとのこと。

流出した可能性がある個人情報は、氏名、電話番号、メールアドレス、パスワード、住所、銀行の口座番号等の「アンとケイト」に登録した項目全て。

(Scan Netsecurity記事より引用)

 

■公式発表 不正アクセスによるお客様情報流出に関するお詫びとお知らせ 株式会社マーケティングアプリケーションズ

 

 

◆キタきつねの所感

「アンとケイト」の個人漏洩事件は、現在まだ調査中だからという点もあるのかと思いますが、個人情報・クレジットカード情報が漏洩した際に、各社の正式リリースによく出てくる謎のフレーズ(※何となくそれっぽく聞こえるけど、何が原因だかまったく分からない)「第三者より一部サーバーの設定上の不備を攻撃され・・・」と書かれていましたので、こうした事件を見て気を付けようとする他社あるいは、私みたいなリサーチャーにはあまり役立つ情報が公式発表にはありませんでした。

 

外部の第三者に攻撃を受けた事は、もしかしたら0ディ攻撃の可能性もある(防ぎきれなかった妥当な理由がある)のかも知れませんが、公式発表を読むと、個人情報を取り扱う企業(の発表)としては、少し疑問に思う対応があったので、今回は公式発表を出す経緯を含めての深読み(※公式リリース情報から読み取れる内容を勝手に解釈)をしてみようかと思います。

 

まずは、最近の流行りなのでしょうか?トップページへの事件記載が無いのは気になりました。

トップ画面が回答側のものではないとのご指摘を受け、以下修正します。(引用部分が間違っており、結果として誤解を生じる文章になってしまっていた事をお詫びいたします)

f:id:foxcafelate:20200416161238p:plain

ユニクロ・GUの事件記事でも同じ事を書きましたが、トップページに何も書かない手法は危機管理広報の戦略としては正しいのかも知れませんが、私は中長期的には企業(サービス)への信頼を低下させる行為だと思います。

謝罪の個別メールあるいは運営会社側のリリースをわざわざ見てないモニターからすれば、マスコミの報道がなければ、自分の個人情報が漏洩したという事を知る機会を奪う事になりかねません。

 

おそらく新規モニター募集やステークホルダー、といったビジネス上の関係者への影響を考えて、トップページに書かない事を(消極的非表示)選択したのかと思いますが、積極的にトップページの上側に書かないまでも、少し下にスクロールすれば出てくる位置に公式発表へのリンクを出すなど、いくつかの消極的表示の方法はあったかと思います。

しかし何も書かない事は、個人情報やクレジットカード情報を漏洩したサービス(企業)としては、事件を軽視している印象を(事件を知る)多くの方に与えかねない事を考えると、私はあまり良い手だったとは思いません。

誤引用のご指摘コメントを受けて改めて考えましたが、企業の姿勢としてアンケート依頼側のホームページに、何も事件の事を告知しない事については、事件当時の企業姿勢として、問題があったと思います。(企業広報戦略上としては正しいとは思いますが・・・) 

 

次に疑問に思ったのが、マーケティングアプリケーションズの事件への認識の低さです。

77万件という件数は、最近の個人情報漏洩事件にしては少し多いな程度の印象の方も多いかと思いますが、他の漏洩事件では見ない機微な個人情報が混じっています。

個人情報として、メールアドレス(パスワード)と名前が漏洩しました、という(ここ数年よく報告される)事件と比べると、その差は歴然です。個人年収、世帯年収、口座番号・・具体的な職業・業種・職種・配偶者や子供有無・・・・などと条件を付けたとしても、漏洩内容としては、国勢調査(あるいは金融機関が保有する個人情報)並みに機微な情報と言えるかと思いますが、その割には普通の事件と同じ対応をしている様に思えます。

(1)流出アカウント数:770,074件

(2)流出内容
氏名(*2)、メールアドレス、パスワード、性別(*1)、生年月日、未既婚(*1)、子供の有無(*1)、個人年収(*1,2)、世帯年収(*1)、職業(*1)、勤務先業種(*1)、郵便番号、都道府県(*1)、市区町村(*2)、市区町村以降の住所(*2)、電話番号、銀行口座の支店番号(*2)、口座番号(*2)、口座名義(*2)、Pex ポイント口座番号(*2)、ドットマネー口座番号(*2) 等

(*1)該当する選択肢番号を選ぶ形式のため、具体的な職業・業種・職種、配偶者や子供の有無などは明記されていません
(*2)任意項目のため回答頂いていた方のみ該当します

(公式発表より引用)

 

次に感じたのが、漏洩対象者への”メール対応のみ”への疑問です。

サービスの運営主体であるマーケティングアプリケーションズは、Pマーク取得企業(※下記Pマークは「アンとケイトHPより引用)です。

f:id:foxcafelate:20190525193848p:plain

モニターの方は個人情報の管理がしっかりしているからと、自身の機微な個人情報を登録したと思うのですが、その結果が、パスワード変更依頼(あるいは退会処理が可能にする事)のメールを出すだけというのも非常に疑問な所です。

(2)対応
攻撃を受けた不備に対して対応を行った上で、2019年5月24日に「アンとケイト」モニターサイトを復旧いたしました。個人情報が流出したアカウントのパスワードについて無効化を行った上で、モニター様にパスワードを再設定をいただくことで、モニター様ご自身により登録情報の閲覧、変更、退会が行えるようにいたしました。 
パスワードの再設定のお願いをメールで個別にご連絡しております。また、本事案については、警視庁に通報しています。 

 

私は今回の事件は、個別に(ごめんなさい)メールしましたというレベルではなく、機微な情報を考えると、『金券等のお詫び』まで踏み込むべき内容である気がしました。

 

「お詫びとお知らせ」のメール本文に何が書かれているかは分かりませんが、通常は公式リリースと同じ内容が書かれている事が多いので、それを前提に想像すると、

仮に「自分の機微の情報を漏らしておいて謝罪のメールだけ?保証は?」と登録モニターが考えたとしても、不平不満、あるいは事件の詳細経緯を聞きたいと思ったとしても77万件の漏洩事件の対象者(登録モニター)は、平日営業時間帯にメールする事しか出来ないのです。

f:id:foxcafelate:20190525194300p:plain

 

この対応について、言い方が乱暴になりますが、77万件の個人情報を預かる資格はなかった企業と言えるのではないでしょうか?普通の企業であれば、臨時のコールセンターを設ける気がします。

 

※5/27追記 よく考えると、メール対応なのに受付(メール受信)が24時間で無いのはどうしてでしょうか?おそらくメール回答は営業時間内と言う意味なのかと思いますが、メール受付が制限されているとも読めるので、お詫びの文書としてはあまり良い表現ではない気がします。

 

更に言い方が乱暴になりますが「ご回答までにお時間を要する可能性がございます」とある部分について、初回リリースを出したにも関わらず、最初から既に逃げの文章を書いている部分もどうかと思います。

 

もしかすると、私の見解がまるっきり勘違いで・・・本気でメールで対応する!という強い想いマーケティングアプリケーションズは対応されているのかも知れません。

※その際は、上記の乱暴な表現について、過大な推測を元に書いた事を深くお詫びします。

 

 

では、その臨時のメール対応は何人で対応するのか?と考えてみたのですが、企業情報には128名の従業員の方がいらっしゃると書かれていますので、単純試算では、

f:id:foxcafelate:20190525194846p:plain

 

 

漏洩対象者 770,074件 ÷ 従業員128名 =6,016人(1従業員当たりの対応件数)

 

大体ですが、1人1日300件程対応が出来れば1カ月で77万件の対象者の方すべてからのメールに対応できる事になります。日々の業務を全部ほっぽりなげて、この数字・・・何となく無理な気がします。

 

とは言え、問い合わせメールが対象者全員から殺到という事がない場合も考えられます。仮に漏洩対象者の1/10から問い合わせが来たとすると、従業員全員で1日30件程度を処理すれば良い事となります。

しかし、これだと従業員の全員が対応にまわる事となり、社長も含めて通常業務が止まりますし、事件の詳細調査対応人員や、警察やその他関係機関との報告もあるでしょうから、その対応をする方も必要・・・と考えてくると、ざっくり従業員の1/3(40人程度)を1カ月専任として当てる位までしか、個社の対応は難しいのではないかと推測します。

 

しかし・・・公式リリースには気になる記載が。。。。

f:id:foxcafelate:20190526062937p:plain

 

・・・既に業務再開されてますので、営業時間後に深夜まで残業する事を考えず、通常時間帯に業務対応をするのであれば、想定されるメール対応人員は更に減りそうです。全従業員の1/6程度、つまり20人程度しか臨時対応に割けないのではないでしょうか?

 

改めてその条件で試算してみると、

 

漏洩対象者 770,074件(の1/10) ÷ 想定対応従業員20名  ÷ 20日(1カ月) =192.5件(1対応従業員当たりの1日の対応すべき件数) 

 

大した事はありません。試算上は、対応従業員1人あたり、休憩時間無しで1日8時間、3分以内に1件のメールを処理すれば約1カ月(20日)で完了します

※仮に漏洩対象者の半分が問い合わせをしてきたとすると、1通30秒位で処理しなければならない事になりますので、数カ月メール対応だけでかかる事になってしまいますが・・・

 

ここまで考えてくると、今回のマーケティングアプリケーションズの対応は、事業再開を急ぐあまりに無理がありすぎる気がします。自社でこの再開シナリオを考えたのかなと推察しますが、77万件の個人情報漏洩事件を発生させたという重みを理解しているとは到底思えません。

 

やはり、危機管理コンサル、または事件調査(対応)に詳しいセキュリティコンサルを雇うべきだったのではないでしょうか?そうしていれば、この「事件発生させてごめんなさい。でも対応がもう完了しましたので事業再開しました」シナリオではなく、違った形でのシナリオに落ち着いたかと思います。

 

普通のコンサルであれば、この影響件数(77万件)を考えると、まずコールセンター設置を提案すると思います。企業規模から自社対応(メールのみ)が出来ない事が容易に推測できますので、費用をかけてでも漏洩対象者への説明(あるいは問い合わせを)を急ぐかと思います。特にアンとケイトは登録モニター自体がビジネスの根幹=重要資産であり、登録モニターの評判を事故対応で落とす事をなるべく避ける必要があります。

 

次にコンサルが提案するであろう事は、『事業再開を急ぐな』だと思います。今回の公式発表は事件に対しての初回リリースとなる訳ですが、

このたび、弊社が運営するアンケートモニターサービス「アンとケイト」、「ポケットアンとケイト」において第三者による不正アクセスがあり、お客様情報が流出いたしました。 今後の調査の進捗に応じて対象件数や状況が変動する可能性がございますが、現時点で確認している事実と弊社の対応状況をご報告いたします。 ご利用の皆さまに多大なるご心配とご迷惑をおかけしておりますことを、深くお詫び申し上げます。 

公式発表冒頭部分より引用)

 

マーケティングアプリケーションズとしては最終報告として出した様な雰囲気がありますが、『現時点で』と書かれています。これは一般的は事件調査が完了していない事を示唆しています。

(1)経緯
弊社内で攻撃の形跡を検知し、調査を進めたところ、2019年5月22日に三者によるサーバーへの不正アクセス、お客様情報の流出を確認しました。確認後、「アンとケイト」に係るサービスを全て停止し、外部アクセスを遮断および、その他のアクセスについても監視を強化しております。 (現在は後述の対応の上、サービスを再開しております。)

公式発表より引用)

 

5/22に初めて不正アクセスと情報流出を確認して、5/24にリリースを出しているので当然かとは思いますが、対策完了について、この短期間で三者の評価を受けているとは思えません

個人情報やカード情報が漏洩した企業の多くは、第三者評価で安全性が確認された後にサービスを再開しています。しかし、マーケティングアプリケーションズは、原因を「第三者より一部サーバーの設定上の不備を攻撃され・・・」と、ある意味原因を開示せずに、対策済としてサービスを事件確認後2日で再開しています

 

よほど自社のセキュリティ、あるいは事後対策に自信があるのだと推察しますが、そもそもそのセキュリティが破られたから事件が発生しているのではないでしょうか?

 

今回の公式発表「お詫びとお知らせ」に透けて見えるのは、運営企業としてのビジネス再開への焦りです。個社の事情で、そこを急ぐあまり、見落としている所が多いのではないでしょうか。

コールセンター設置あるいは、外部へ事後(メール)対応委託、フォレンジック調査(第三者評価)、危機管理広報(リリース文の精査、記者会見、モニターへのお詫び)等々・・・考える事がきっともっとあったかと思います。

 

尚、ハッカーが企業に深く侵入した場合、1か所でなく何か所かバックドアも含めて仕掛けが残されている事もあります。対策済と思っていても1つの穴をふさいだだけ(また侵害される)という事もありますので、対策済が本当かどうか?は時間をかけて調査する必要があるかと思います。

また、77万件の漏洩情報を持ったハッカー側(あるいは便乗犯)が、例えばここで退会処理ができますといった、フィッシング攻撃を仕掛ける場合もある様ですので、しばらく留意が必要かと思います。

 

※5/27追記 harrierさんから「GooglePlayからアプリが消えている」との追加情報コメントを頂きました。調べてみると、確かに消えています。Google検索(アンとケイト×Android)では下記の様にリンクが出てくるのですが、

f:id:foxcafelate:20190527203259p:plain

 

リンクを辿ると・・・ソフトが削除されていますね

f:id:foxcafelate:20190527203525p:plain

既存ユーザからの事件への不平・不満がコメント欄に書かれて荒れるのを避ける為ではないかとharrierさんは推測されていましたが、平日メール対応の件を考えると、十分にあり得る考えかと思います。

仮にそうだとすると、自社の利益の源泉である既存の登録モニターの評判に影響を与える(やってはいけなかった施策と言える)かも知れません。

 

 

 

f:id:foxcafelate:20190526075139p:plain

更新履歴

  • 2019年5月26日AM(予約投稿)
  • 2019年5月27日PM よく考えるとメール対応時間がおかしいと思ったので追記し、併せてGooglePlayからアプリが消えている旨のコメントを頂いたので追記
  • 2020年4月16日PM コメントでの引用部分の間違いご指摘を受け一部内容修正