Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

メジカルビューの最終報告

昨年10月に個人情報漏洩が発覚したメジカルビューの最終報告結果についての記事がSecurity Nextに出ていました。

www.security-next.com

 

■公式発表 メールアドレスおよびパスワード情報流出のお詫びとご報告

 

同社では、同社運営サイトが不正アクセスを受け、一部登録会員のメールアドレスとパスワードが流出したとして、2018年10月に事態を公表。その後、外部事業者による調査を進めていた。

その後の調査で、同サイトおよび「動画でチェック! 乳腺エコー/運動器関節エコー」に登録した会員5815件のメールアドレスとパスワードが、海外のウェブサイトで約1カ月にわたり公開されていたことが判明した。

今回外部で確認されたファイルに関しては、氏名や住所などは記載されていなかった。海外サイトで公開が確認されたファイルは、すでに削除されている

(Security Next記事より引用)

 

◆キタきつねの所感

公式発表を見ると、継続的に情報を更新(7回)しているメジカルビュー社のインシデント対応は、他の企業も見習うべきリリース対応であると思いました。

 

さて、どこかで関連記事をみたなと思っていて探してみたら、piyologさんの1月の記事にそのメジカルビューの情報が出ていました。Troy Hunt氏のデータ漏洩情報(Collection#1)の中に、Medicalviewに関する情報が出ていた様です。

piyolog.hatenadiary.jp

 

確認した.jpドメイン18個は次の通り。

easyriders.jp
itms.jp
medicalview.sakura.ne.jp
(以下略)

 

■対応について
不正アクセスを受けた弊社サイトの脆弱性について、専門の調査会社に依頼し調査を行い、改修作業を実施いたしました(2019年5月29日完了)。
・一般社団法人JPCERT コーディネーションセンターを通じ、発見されたファイルの掲載サイトに削除要請を行う予定でございましたが、すでに削除されたことを確認しております。万一、再び掲載されたことが確認された場合は削除要請を行います

(公式発表より引用)

 

漏洩した情報について、外部掲載サイトでのファイルが既に削除済であると書かれていますが、TroyHunt氏のサイトに掲載されているという事は、その前にDarkWeb等で漏洩データが販売されていたという事を示唆しています。

漏洩したデータは加工しなおされたり、別な形で出てくる事も多いかと思いますので、漏洩データは既に拡散されたと考えた方が良いのではないでしょうか。

削除要請についても・・・JPCERT経由での削除依頼対は国内サイトならまだしも、(グレーやブラックな)海外サイトへの削除交渉は、難しいのではないかと思います。(潰せたのはPastebinの様なオープンサイトであって、大元のブラックなサイトでは無いのではないでしょうか?)

 

覆水盆に返らず、という言葉がぴったりなのがこうした情報漏洩事件なのであり、個人情報を漏らさない様に各個人情報を保有するサービス事業者が努力する必要があるかと思います。

 

余談ですが、少し気になったので、piyokango氏がCollection#1で挙げていた18サイトのその後の状況を簡単に調査してみました。

 

結論から言えば、インシデントとしてきちんと発表したのがメジカルビューとポルシェジャパンの2サイト既にサイトが無い(逃げた)のが4サイト。事件を無かった事としていると思われるサイトが12サイトでした。

TroyHunt氏の個人情報が漏洩した、という掲載情報(Collection#1)が正しいという前提に立てば、漏洩した9割以上のサイトはその事実を隠蔽する、あるいは逃げる、こんな残念な簡易調査結果になりました。

 

この結果から、個人情報管理がしっかりとしている企業、あるいは上場企業クラスでないと個人情報を預けるのはリスクが伴うな・・という事を改めて感じました。

 

.JPドメイン データ漏洩報告 業態
easyriders.jp ハーレ等の自動二輪部品の企画・開発・製造・販売サイト。
itms.jp 韓国発券の旅行代理店サイト。
medicalview.sakura.ne.jp メジカルビュー社
mensworker.jp ページにアクセスできず(閉鎖していると思われる)
npb.scforum.jp プロ野球カードフォーラム
oshiete.petst.jp 犬・猫の戸籍とブログコミュニティ
ota-fair.jp ページにアクセスできず(閉鎖していると思われる)
shizuoka-jinjacho.or.jp 静岡県神社庁
sp.acrovision.jp IT求人ナビ
tech-t.co.jp CD/DVD等のプレス・印刷
t.tfn.ne.jp ページにアクセスできず(閉鎖していると思われる)
vch.jp VR映像等の撮影・編集・販売
water-net.co.jp リフォーム等
www.aib-a.jp アーティフィシャルインテリアブーケ協会
www.nabeya.co.jp 工作機械用治具ユニット等の製造
www.okayama-international-circuit.jp 岡山市にあるサーキット
www.porsche.co.jp ポルシェジャパン
www.shizu-toku.jp ページにアクセスできず(閉鎖していると思われる)

 ※個別にユーザに連絡していたりいるサイト事業者も含まれている可能性もありますが、ホームページ上には個人情報が漏洩したという発表が(トップページやリリース部分に)見受けられなかったので、データ漏洩報告は無いという分類にしています。

 

 

参考 

foxsecurity.hatenablog.com

 

 

f:id:foxcafelate:20190609161613p:plain

 

更新履歴

  • 2019年6月9日PM(予約投稿)