Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Pyramid Hotel Groupはセキュリティ監査ログへアクセスし放題だった

GDPR 不正アクセス事件 つぶやいてみた。

セキュリティログに対してもセキュリティ保護は必要である。改めてこの記事を見て思いました。

hothardware.com

 

問題となっているホテル管理会社はPyramid Hotel Groupで、マリオットの多くの場所を管理しています。同社は、セキュリティログを含む安全でないデータベースを残すサーバーを持っていたため、悪意のあるタイプにホテルのサイバーセキュリティの弱点についての考えを与える可能性がありました。保護されていないデータベースは、ポートスキャナを使用してインターネットの領域をマッピングしながら、公開されたセキュリティログを発見したVPNMentorの研究者によって発見されました。

Pyramidは、米国、ハワイ、カリブ海アイルランド、英国など、世界中のホテルの場所を管理しています。管理傘下のホテルには、19のマリオットのロケーション、シェラトンのホテル、プラザリゾート、ヒルトンのホテル、その他多数の独立系ホテルがあります。研究者らは、セキュリティで保護されていないサーバーのポート9200にElastisearchデータベースインスタンスがあり、オープンソースの侵入検知システムであるWazuhによって生成されたセキュリティ監査ログへの無制限のアクセスを許可したと述べています。

96の異なるホテル施設と複数のホテルシステムに属するさまざまな機密データに関するデータが見つかりました。研究者たちは、彼らが見ることができるものから、ハッカーが組織によって使用される命名規則と様々なドメインドメイン制御を理解することを可能にするだろうと言います。漏えいした情報は2019年4月19日に遡ります

このリークに含まれるデータには、ファイアウォールとオープンポートのデータ、マルウェアの警告、APIのキーとパスワード、デバイス名、IPアドレス、およびファイアウォールのデータも含まれます。ホテルの従業員のデータには、氏名、ユーザー名、ローカルPCの名前、住所などの情報が含まれています。ここで皮肉なことに、公開されているデータはコンピュータシステムを保護するためのものですが、セキュリティで保護されていないログにより、悪意のある行為者がアクセスするために必要なデータの正確な種類が明らかになります。

(HotHardWare記事より引用)

 

 

◆キタきつねの所感

マリオットホテルが再び、個人情報漏洩か!という内容ではありますが、実際にはホワイトハッカーによる調査で脆弱性が見つかったというのが正直な所です。とは言え、流出した可能性があるセキュリティログは、85GBにも及びます。

 

漏洩したデータが、2019年4月19日まで遡れるというのも気になります。このPyramid Hotel Groupが扱っているホテルは、要するにマリオットホテルとほぼ同義になります。

 

そしてマリオットホテルは、スターウッドホテルズアンドリゾーツワールドワイド(Westin等が含まれる)を2016年に買収した巨大ホテルチェーンですが、旧スターウッド系のシステムに脆弱性があり、2016年~2018年8月までデータ侵害を受けて最大で全世界顧客5億人(※注:私もその中の1名)のデータが漏洩した事を2018年9月に発表しています。

 

その代償は直接的な被害だけでなく、集団訴訟等でも費用が嵩んでいく可能性が高く、最終的には和解で決着しそうな気もしますが、高額な訴訟も起きています。 

foxsecurity.hatenablog.com

 

そして、今回の監査ログが漏洩したかも知れない件・・・2019年4月までのデータとなっているので、5億件の侵害を受けた後、つまりセキュリティ対策を実施した(はずの)後に見つかっています。

 

この大型のインシデントを発生後には、脆弱性試験や侵入試験(ペンテスト)を実施してセキュリティ対策の実効性を確認していたと思うのですが、厳しい言い方をすれば、その内容が十分で無かったという可能性が高いかと思います。

 

漏洩(された可能性がある)データは、セキュリティ上の理由で外部のクラウド辺りにあったのだと思いますが、想像するに、このログにホテル従業員等の個人情報が含まれている(本来は保護対象のデータである)事について、マリオットホテル、Pyramid Hotel Groupの両社の認識が希薄だった気がします。

 

※米国や日本のカード情報関連のインシデント(監査)で、以前はよくログにカードデータが入ってるのが見つかっていましたので、同じ観点での設定ミスだと思います。因みにPCI DSS関連だとログのデータはマスキングしたり必要なければ削除している事が多いです。

 

巨大なホテルチェーンであるが故に、今回の件で巨額な罰金をGDPR関係で課されてしまう可能性すら感じます。

インシデントが発生した際に重要なおは、徹底的に原因追及、あるいは重要資産の再調査だと思います。

その上で、新たな脆弱性が日々生まれる、あるいは設定ミスはあるものだという前提の上で、定期的にセキュリティチェックする(脆弱性診断や侵入テスト等)事を繰り返していかないと、こうした継続したインシデントが発生してしまうリスクが高いと言えるかと思います。

 

PCI的な視点では『Business As Usual』(セキュリティ対策の日常化、という意味になります)が重要と言いますが、まさに事後対策が失敗しているが故に発生してしまったインシデントと考えられそうです。

 

 

f:id:foxcafelate:20190609124644p:plain

更新履歴

  • 2019年6月9日PM(予約投稿)