Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

フューチャーアーキテクト社の営業秘密持ち出し事件を調べてみた

日経新聞が3月8日にITコンサル元役員が競合先企業に営業情報を漏えいされた疑いで逮捕されたとの記事を掲載していました。

www.nikkei.com

■公式発表

 本日の当社元社員に関する報道について (フューチャーアーキテクト社)

 当社元従業員の逮捕について (ベイカレント社)

 

事件の状況 
  • 容疑者は2017年1月~2月にかけて、自宅パソコンからフューチャーアーキテクト社のサーバに接続し、顧客向け金融システムの提案書システムエンジニアプログラマー等の技術者の従業員名簿(約100人分)を不正に得て、一部をベイカレントのパソコンに複製したり顧客向け見積書をベイカレントの社員にメール送信した疑い
  • 容疑者は、ベイカレント社から貸与された端末に名簿を保存
  • 2016年12月以降にフューチャーアーキテクト社からベイカレント社に移籍した従業員は約30人ベイカレント社は容疑者に名簿を持ち出す指示はしてないと説明)
  • 容疑者は「自分で作成した資料なので問題ないと思った」と容疑を否認
  • 「元従業員は当社との二重雇用状態において、当社から職務上付与されたアクセス権限を悪用して当社およびフューチャーアーキテクトの営業秘密等を不正取得等していたことが、調査の結果判明した」(民事訴訟時のフューチャーアーキテクト社の説明)

 

インシデントタイムライン

日時 出来事 情報ソース
2016年12月~2017年5月 ベイカレント社と雇用契約 *ヘッドハンティング
(フューチャーアーキテクト社には知らせてない)
*日経3/8記事
2016年12月以降 フューチャーアーキテクト社からベイカレント社に技術者30人が移籍 *日経3/9記事
2017年1月~2月 自宅PCからフューチャーアーキテクト社のサーバに接続し、提案書や従業員名簿を不正に持ち出したほか、見積書をベイカレント社の社員にメールで送信したり、ベイカレントのパソコンに複製 *日経3/8記事
*日経XTECH記事
2017年4月 フューチャーアーキテクト社が警察庁に被害を相談 *日経3/8記事
2017年5月 フューチャーアーキテクト社が容疑者を解雇 *日経3/8記事
2017年8月 フューチャーアーキテクト社がベイカレント社と元従業員に対して損害賠償を求める民事訴訟を提起 *日経XTECH記事
2018年1月 ベイカレント社を容疑者が自主退社 *朝日新聞記事
2018年3月6日 不正競争防止法違反容疑(営業秘密不正持ち出し)で容疑者を逮捕 *日経XTECH記事

 

◆キタきつねの所感

今回の事件は、ライバル企業にヘッドハンティングされる際に持ち出した営業秘密情報の中身から考えると『産業スパイ事件』と言えそうです。

日本の製造業が技術情報を韓国や中国企業に持ち逃げされた事件は東芝のメモリ情報(新幹線もか・・)などが思い浮かびますが、得意先に高い知見を売る『コンサルティング』ノウハウや技術情報という観点で考えると情報を持ち出されたフューチャーアーキテクト社から見ると、かなりの大事件ではないでしょうか。

 

f:id:foxcafelate:20180310115344j:plain

警察庁赤坂署が開示した押収品(営業情報がコピー/保存されていたと疑われる機器)を見ると、携帯用ハードディスクが入っているようです。つまり、容疑者は(当然)不正に持ち出す強い意図があった思いますし、自分で作成した資料なので問題ないと思ったの言い逃れは無理だと思います。

見積書、技術情報(ノウハウ)が含まれる提案書、日経3/8記事によると「提案書と見積書には金融システムの仕組みの詳細が示され、外部に漏れれば技術が盗用される恐れがあった」とあり、その漏えいが問題である事について・・・企業の元役員がそこまで法律(常識)を知らないという事も無いと思いますし、ヘッドハンティングに実際に使われた”従業員情報”を自分が作成した?というのも無理があります。

情報を得た側となるベイカレント社の言い訳も苦しい気がします。元従業員の業務端末に(名簿)データは保存されており、従業員は提案書の添付されたメールを受領してしまっています。警察庁のPC等の押収品から見ても・・・無関与・無関係も無いと思います。更にヘッドハンティングに使われた情報については、30名の技術者のヘッドハンティングを短期間に行った事実がある訳ですから、どう言い逃れできるのか・・・やはりそれは無理でないでしょうか。

コンサルティングを基幹とする会社で、他社の機密情報を恣意的に持ち出させる、あるいはライバル社が持っていた営業情報を使ってビジネスを行う(と思われる)行為は、それがバレた場合は、(移籍先の)会社の信用を落とすというリスクがあります。ベイカレント社も事件を受けて大きく株価を落としていますが、(日本)市場はそうした手法を許さないと厳しい目で見ていると言えそうです。

では産業スパイをやられた形になる、フューチャーアーキテクト社は、何故内部不正を防げなかったのでしょうか?勿論、競合他社と雇用契約を結んでいる事を知らされて無かったので、対策は難しかったとは思いますが、いくつかの観点で、早期に”気づけた”可能性を感じます。

  1. 報酬に対する不満(評価)
  2. 労働時間の管理
  3. 外部アクセスに対する監視/レビュー

1番目に関しては、ヘッドハンティングを受けた理由について容疑者は「報酬アップのためヘッドハンティングに応じた」(日経3/10記事)と語っていますので、金銭的な不満が顕在化していた可能性があります。お金に困っている、評価されてない、叱責されている・・・等々、何かしらのサインが出ていたのではないでしょうか。

2番目については、2重雇用(ダブルワーク)状態であった事から、フューチャーアーキテクト社から見ると、『労働時間の減少』あるいは(成果主義であれば)『仕事の質が下がる』のどちらかが、会社側から気づけた可能性があるかと思います。容疑者は『執行役員』であったので、みなし労働(成果主義)で、会社側が労働時間をきちんと把握してなかったかも知れませんが、会社全体で労働時間管理(例えばIDゲート記録や社内システムアクセスをベースにした)がしっかりと運用していれば、2社でのワークに対して埋められない労働時間差分が出ていたのではないでしょうか。

最後が、休日や外部からのアクセスに対して監視や(事後)レビューが出来たかも知れない点です。人のあまり居ない時間帯に不正にデータを持ち出すか、外部アクセスでこっそり持ち出す、内部不正にありがちなこの2つのパターンが今回の事件では当たっている気がします。業務に関係が無いデータを多量に持ち出す、あるいは休日に大量のファイルが出ている。普段は不要な人事ファイルが閲覧されている・・等々、監視/レビュー条件はいくつも考えられたと思います。

 

余談ですが、ほとんどの記事で実名が出ておりました。容疑者のFacebookアカウントがあったので少し見てみますと・・・開成>東大のエリートコースを歩んできた人であった事が分かります。この経歴であれば、営業秘密が何であって、競合企業との2重ワークへの問題がないのか、人事情報を不正に他社に渡すのは個人情報保護法も違反・・・そんな事は予め分かっていたのだと思います。

 

f:id:foxcafelate:20180310131230j:plain

恣意的に従業員に内部不正されてしまうリスクについて、海外企業に比べて、日本企業はあまり真剣に考えていないところが多い気がしますが、今までの内部不正事件でよくあった海外国籍の従業員だけでなく、日本国籍の方であっても、そしてたとえ役員であっても不正を起こす可能性がある。そう理解して自社のリスク管理を考えていく必要があるのかも知れません。

 

www.ipa.go.jp

 

 

 

参考:引用元ソース

www.nikkei.com

tech.nikkeibp.co.jp

www.asahi.com

www.nikkei.com

 

スパイの猫のイラスト

 

更新履歴

  • 2018年3月10日AM(予約投稿)

熊本県サイト個人情報流出事件を考えてみた。

熊本日日新聞3月20日記事に、熊本県の情報サイト「気になる!くまもと」の不正アクセス事件が載っていました。

this.kiji.is

■公式発表

熊本県メールマガジン「気になる!くまもと」のウェブサイトへの不正アクセスに関するご報告 / 熊本県

 

事件の状況
  •  熊本県が配信しているメールマガジン「気になる!くまもと」の記事を掲載しているウェブサイトに不正アクセスがあり、3月17日に公開ページの一部改ざんが判明
  • サーバ内に保存していたプレゼント企画に応募した(2008年5月~2018年1月)読者会員のメールアドレス等個人情報12,424件が流出したことを確認(メールアドレス、性別、年齢、居住都道府県、アンケートへの回答等)
  • 「気になる!くまもと」プレゼント企画ページの改ざん
  • 被害を受けたサイトは運営企画会社に委託しており、県公式ホームページとは別システムで被害は受けていない
  • 17日に県警から指摘を受け事件が発覚
事件の原因
  •  スタッフブログの過去記事の一部に脆弱性を抱えたシステムがあり、不正侵入された形跡が残っていた。(熊本日日新聞記事より引用)

 

f:id:foxcafelate:20180325125004j:plain

 

◆キタきつねの所感

不正アクセスによる、個人情報流出事件ではありますが、ブログから侵入というのがあまり聞かないパターンでした。

被害を受けたサイトは熊本県ではなく、運営は別企業に委託とありましたので・・調べてみましたが、こちらの会社が運営していたようです。

 

f:id:foxcafelate:20180325132040j:plain

制作実績ページ

f:id:foxcafelate:20180325132045j:plain

 

事件の原因
  •  スタッフブログの過去記事の一部に脆弱性を抱えたシステムがあり、不正侵入された形跡が残っていた。(熊本日日新聞記事より引用)

 

のブログも・・・くまもんが出てきましたので、こちらで間違いないかと思います。

f:id:foxcafelate:20180325132138j:plain

 

では、どんな脆弱性だったのか・・・、ブログの下の方に使っているツール表記が「Blogger」とありました。恐らくこのツールに関わる脆弱性が原因だったのでしょう。(まったく事件とは関係ないのですが、コピーライトの年号が古いのが気になってしまいますが・・・)

f:id:foxcafelate:20180325132140j:plain

 

Bloggerのサイトを見てみたのですが、

f:id:foxcafelate:20180325132142j:plain

残念ながら、近々に出された脆弱性告知(パッチ情報)を見出せず・・・。まぁ英語のサイトのどこかに書いてあるのかも知れませんが、さっと見た感じでは重要な更新情報としては掲載されている様な雰囲気を感じませんでした。

ECサイト等でのこうしたフリーの標準プラットフォームの侵害事件の場合、サードパーティプラグイン脆弱性が突かれる事が多いので、もしかすると、そうした脆弱性だったのでしょうか。

 

簡易調査では、この程度しか調べられませんでしたが、今回の事件では運営企画会社及び熊本県にいくつもの問題があり、個人情報の漏えいにまで繋がったものと思われます。

 

  • ブログの脆弱性(過去記事)を放置
  • プレゼント企画への10年分の応募者データをサーバに保存(10年分は不要だったはず)
  • プレゼント企画ページの改ざんも県警に言われて初めて気づいている

 

普通なら運営企画会社が一番罪が重い訳ではありますが・・・

会社のホームページを見ると、現実的な問題としてこちらの会社がセキュリティ対策をしっかりしなければ!という意識をちゃんと持てていたかというと疑問です。というのは・・社員数6人しか居ない会社であるのが最大の理由です。制作実績ページを見る限り、パンフレット、チラシ、グッツ、ポスターの実績が多く、Web制作も手がけていますが、編集のプロではあってもセキュリティ対策のプロ・・が居そうな雰囲気はありません。

だとすると、発注側である熊本県サードパーティの管理責任の一環として、Webページ(あるいはプレゼント応募ページ)に対するセキュリティ要件をしっかりと書いて、発注(更新依頼)すべきだったのではないかと思います。

 

※少し前に福岡放送が、そして2016年~日本テレビ等々がプレゼント応募の部分を突かれた事件を「自分事」と考えられていれば、結果が違った可能性もあるかと思います。

foxsecurity.hatenablog.com

 

f:id:foxcafelate:20180325132144j:plain

 

 

編集者のイラスト

 

更新履歴

  • 2018年3月25日PM(予約投稿)

日本の大学は攻撃対象の認識があるか?

産経デジタルの3月24日記事にイランからのサイバー攻撃テヘランにあるMabna研究所に関連する9人のイラン人が起訴された件が載っていました。

www.iza.ne.jp

米国の大学144校が襲われたんだ・・・と記事を流し読みしていたのですが、320校の全世界の大学の中に「日本」が入っており、とてもこの事件が気になりました。東大や京大といった日本を代表する大学がこの”侵入被害”を受けている大学の中に入っている可能性は十分にありそうです。

 

◆記事のソースは、米国司法省の3月23日の発表だったので、リリース内容を見てみたのですが、

Nine Iranians Charged With Conducting Massive Cyber Theft Campaign on Behalf of the Islamic Revolutionary Guard Corps | OPA | Department of Justice

 

2013年から2017年12月までの攻撃キャンペーンで、侵入を受けたコンピュータシステムの所属は、

と記載があります。なる程・・・国連も襲われています。

 

米国以外の大学については、

including Australia, Canada, China, Denmark, Finland, Germany, Ireland, Israel, Italy, Japan, Malaysia, Netherlands, Norway, Poland, Singapore, South Korea, Spain, Sweden, Switzerland, Turkey and the United Kingdom

 

漏えいしたデータについての記載は、

31 terabytes of academic data and intellectual property from universities, and email accounts of employees at private sector companies, government agencies, and non-governmental organizations.

31.5テラバイト!の大学、プライベートカンパニー、政府組織、非営利団体学術および知的財産権に関わる情報がイラン政府、イラン革命防衛隊に漏洩した可能性があるとの事。

 

Through the course of the conspiracy, U.S.-based universities spent more than approximately $3.4 billion to procure and access such data and intellectual property.

 

米国から漏れた知財権についての損失概算は34億ドル(約3,570億円)にも達するとの事ですが、この概算には日本を含む諸外国分の損害額は含まれていません。

 

攻撃経路が気になる所ですが、

The Mabna Institute, through the activities of the defendants, targeted more than 100,000 accounts of professors around the world. They successfully compromised approximately 8,000 professor email accounts

 

The members of the conspiracy used stolen account credentials to obtain unauthorized access to victim professor accounts, which they used to steal research, and other academic data and documents, including, among other things, academic journals, theses, dissertations, and electronic books.

10万人に攻撃し、8,000人の教授のメールアドレスの奪取に成功し、その不正に入手したアカウント情報を用いて、研究データや学術的な書類、学術雑誌や論文、電子書籍などを盗んだとあります。メール攻撃では他で漏れている使い回しパスワードを使った攻撃が非常に多いのですが、対象が「教授」ですし・・・攻撃詳細は分かりませんが、そうではなかったと信じたいところです。

 

◆キタきつねの所感

ニュース記事だけを見ると、「米国の大学で大量のデータがイランに流出したんだ」程度の認識の方が多いかと思います。しかし米司法省の発表、あるいは米国のニュース記事などを見る限り、大学を狙った大規模な(世界的)攻撃キャンペーンである、という論調で、日本も含めて大きな事件であるとの認識をすべきなのだと思います。

米国が最大被害を受けた事件であり、FBI等が捜査中でもある事から、特に海外大学から漏えいした情報についてはあまり詳細に発表されないのではないかと思いますが、日本の大学からも学術情報が漏えいした事は間違いなく、流出した経路については今後も脆弱性が残っている(今後も同じ手口で責められる可能性がある)と考えるべきかと思います。

攻撃を受けた国は、米国、オーストラリア、カナダ、中国、デンマークフィンランド、ドイツ、アイスランドイスラエル、イタリア、日本、マレーシア、オランダ、ノルウェイポーランドシンガポール、韓国、スペイン、スウェーデン、スイス、トルコ、英国と米司法省の発表に記載がありますが、「教授」が対象であったことを考慮すると、「英語」での大規模キャンペーン(APT攻撃)であったと思われます。

英語のフィッシングメールでも踏んだのかな・・とまず最初に考えたのですが、10万人に仕掛けて8,000人のアカウント奪取と、かなり成功率が高い攻撃であったようですので、Windowsのパッチはそれなりに当たっており、アンチウィルスソフトが入っている環境で、(英語の)添付ファイルを開けてしまった標的型(APT)攻撃であった可能性が最も疑わしく、その次の可能性としては・・イランすなわち”国”が絡む大規模キャンペーンですから0ディ脆弱性を使った攻撃であったのかなと思います。

 

とは言え・・・「大学」からこれだけ多量のデータが奪取されたということから考えると・・・外部からの不正アクセスに対して大学の防御は甘い、という側面は否定できません。

また同じ米司法省のリリースの同じ部分を引用しますが、

The members of the conspiracy used stolen account credentials to obtain unauthorized access to victim professor accounts, which they used to steal research, and other academic data and documents, including, among other things, academic journals, theses, dissertations, and electronic books.

教授のメールアカウントが一度盗まれてしまえば、大学のメールは外部からアクセスし放題。すなわちログイン認証がID/パスワードだけである大きな脆弱性がこれだけの被害を出した、もう1つの要因だと推測されるのです。やはり外部からのアクセスに関しては、攻撃を受けた事を考慮して、多要素認証を導入する等の対策は必須なのではないでしょうか?

 

今回の攻撃キャンペーンで、実際に日本の大学もデータが漏えいしている、この事実に即して考えれば、日本の大学も攻撃を受ける対象であり、自組織を守るためには、重要なメール情報・学術情報(重要資産)を持っているであろう”教授”は、特に高いセキュリティ手段で守るべき、そう考える時期に来ているのではないでしょうか。

 

 参考:

www.kahoku.co.jp

大学のイラスト

 

更新履歴

  • 2018年3月25日AM(予約投稿)

英国National Lotteryの不正アクセス事件

DailyMailに英国の「National Lottery」が不正アクセス被害を受け、1050万人の登録プレイヤーに対してパスワード変更を促したとの3/16の記事がのっていました。

www.dailymail.co.uk

National Lottery(国営宝くじ)はCamelot Groupによって運営されており、(今回告知をされた)会員数10.5百万人がすべて英国民だとすると・・英国民の6人に1人がアカウントを持っている程に、人気の会員サイトといえるかと思います。

f:id:foxcafelate:20180317184619j:plain

公式サイトを見てみたのですが、今回の件でのリリースらしき内容は確認できませんでした。ですのでMailOnlineの記事から被害詳細を見てみると、

 

The move follows an attempt by hackers to access accounts using a technique known as ‘credential stuffing’.

The mass attack was successful in accessing some 150 accounts and in a small number – fewer than 10 – some activity took place within the account.

(Mail Online記事より引用)

 

となっており、『パスワード使い回し(Credentila Stuffing)』によって、150アカウントが不正ログインに成功され、その内10アカウント以下がアカウントを乗っ取られた、という事件だったようです。

ニュースタイトルを見た時に公営ギャンブルサイトが不正アクセスを受けたとの印象でしたので大きなハッキング事件かなと思ったのですが、日本でも(残念ながら未だに)良くあるパスワード使いまわしによる不正ログインの事件であったようです。

 

よくありそうな攻撃だと思うので、急いで会員に告知(使い回しをしている場合はパスワード変更推奨)しなければならなかった理由が気になったのですが、記事中にその答えらしき部分がありました。

 

The National Lottery is advising all 10.5million people with online accounts to change their passwords following a security breach that happened days before tonight's £14million Euromillions draw.

(Mail Online記事より引用)

 

丁度、14百万ポンドのEuromillion(賞金額200億円以上?の抽選日に併せての攻撃だったので、被害数は少なくても、その後の影響を考えて緊急告知になったのだと思われます。

 

National Lotteryのセキュリティを調べてみたのですが・・・当然と言えば当然ではありますが、しっかりした認証(ISMSPCI DSS)等をとっているようです。

 

f:id:foxcafelate:20180317190900j:plain

 

試しに新しいアカウントを取ってみようとしたのですが、英国のIPで無いと弾かれました

 

f:id:foxcafelate:20180317190947j:plain

 

セキュリティをしっかりとしていたから、10アカウント以下のアカウント乗っ取り被害で済んだとも言えますし、これだけセキュリティをしっかりしていても、(国内IPからの)『パスワードの使いまわし』を突いた攻撃は防げないと考える事もできるかも知れません。

 

The National Lottery

 

更新履歴

  • 2018年3月17日PM(予約投稿)

IPAの個人情報漏えい発表は実は試験問題にするため!?

ITパスポート試験のサイトで2つの団体申込者が同時にCSVファイルリクエストをかけたところ、二つの団体の情報が合わさった情報がそれぞれのファイルに落ちるという、あまり最近では聞いた事がない個人情報漏えいの発表がIPAから3月13日にありました。

tech.nikkeibp.co.jp

 IPA広報によると、原因は複数のユーザーが同時にアクセスした際の排他制御がシステムから抜け落ちていたことだという。CSVファイル生成のリクエストがあった際には単一のファイルしか生成しないため、二つの団体申込者の両方の情報が記載されたファイルが生成され、それぞれの団体申込者がダウンロードできる状態になった。

(日経 xTECH記事より引用)

 

記事を見る限り、2団体から外に情報が漏れたことは無いようですので、実害はありません。

とはいえ、IPAと言えば我々セキュリティに携わる人にとっては指針となる/役立つ情報を提供してくれる神様みたいなところです。今回の件は、、

 

 その日のうちに、ITパスポート試験の実施やシステム運用を含む運営業務の委託先である日立製作所に対し、これら二つの団体申込者から「ダウンロードされた情報に異常がある」との連絡があったという。IPA日立製作所から報告を受けた。

 

とあるので、おそらくサイト構築は日立製作所の管轄だったのだろうと思います。

日立さんが・・・こんな簡単な実装ミスするのか?」それが今回の事件に対する素朴な疑問です。

 

www.pc-master.jpデータベースを構築(あるいはアクセス制御)を考えた時に、初心者SEでも教わりそうな内容ですし、実際に今回被害が発生したITパスポート試験では試験範囲に入っているはずです。

 

参考: 排他制御|ITパスポート試験ドットコム

 

つまり、、実はこれはIPAや日立さんからの「世の中の人々はこうした初歩的な実装を気をつけるべきである」というメッセージ性が入っていたのではないかと穿った見方ができるのではないでしょうか。(関係者に迷惑をかけているのでそんな事はなく単純ミスだったようですが)

 

 

次の情報処理安全確保支援士(SC)試験辺りには、こうした単純ミスを防ぐための正しいチェックの仕方・・といった記述問題が自虐的に登場しそうな気がするIPAの発表でした。

 

www.ipa.go.jp

IPAの説明文の「プロフェッショナル集団」が看板倒れといわれて欲しくないなぁ。。。

 

ブルースクリーンのイラスト

 

更新履歴

  • 2018年3月17日PM(予約投稿)

北京の顔認証メガネ

Business Insiderの3月14日記事に顔認証グラス実証が報じられていました。中国ではハリウッド映画の世界がもうすぐ現実のものとなりそうです。

www.businessinsider.jp

スマートグラスの活用という点では各国で考えられているものと思いますが、こうした国規模での新しい技術の実装については、中国には適わない気がします。

3月9日にも同様な記事を書きましたが、スマートグラス(顔認証)の活用について少し追加内容があったので取り上げてみます。

 

  • 北京で警察が顔認証メガネのテストを始めた。
  • 2018年2月、河南省の州都・鄭州市の駅で使われ始めた顔認証メガネと同じもののようだ。
  • 中国は顔認証技術の利用を拡大している。全国民を3秒以内で認識する国家規模のデータベースの稼働に向けて動いている。
  • 新疆ウイグル自治区は高い監視体制が敷かれている。いずれ中国の他の地域にも及ぶと思われる。

 

この辺りは、2月のビジネスインサイダーの記事とあまり内容的に変わりありませんが、まずは国内問題で不安定な要素を抱える地方での導入であったり、

 

北京の高速道路の検問所で顔認証メガネが使われ始めた

 

車の乗員とナンバープレートの両方をデータベース照合する実証が進められているようです。日本だとプライバシー侵害が強く懸念されることから同じことは(すぐには)出来ないと思いますが、高速道路であればスマートグラスを装着した警官である必要はなく、将来は料金所で自動化できそうですし、中国への入国時に登録する生体情報を顔情報にすれば、かなり高度な監視体制が実現できるかも知れません。

こうした中国の監視技術が実現されれば、交通犯罪から人身売買までの容疑者特定に多大な効果を挙げるでしょう。しかし同時に気づかないうちに国民や旅行者が監視されている社会になってしまう事にもつながる可能性が高く、どう技術が正しく使われていくのか、気になるところです。

 

余談ですが、、、先日、中国の方と宴席でお話した際に聞いた話では、中国では公共トイレのトイレットペーパーを勝手に持ち帰る事を防ぐために、(必要分の)トイレットペーパーを取る時に顔認証が要求されるようなシステムが導入されている所があるそうです。何でももって帰ってしまう一部の中国人旅行者については日本のホテルなどでも一時期問題になっていましたが、対応策というのは色々考えられるものだと勉強になりました。

 

参考

foxsecurity.hatenablog.com

顔認証のイラスト

更新履歴

  • 2018年3月17日PM(予約投稿)

JJ Medsの脅迫メール対応に漢を感じた

カナダで医療用大麻の配送サービスを行っているJJ Medsが脅迫メールを受けたとの投稿がCanadianMOM!に掲載されていました。

f:id:foxcafelate:20180310161631p:plain

投稿内容(=脅迫内容=下記参照)をざっくり書くと、こんな感じでしょうか。

JJMedsの保有するイメージファイルへのアクセス権を(不正に)手に入れた。48時間以内に$1000相当のビットコインを支払わないと、顧客情報をネットや警察に公開する。顧客の評判を落とさないように支払う事を忠告する。将来を考えて正しい判断をするように。早急な回答を期待する。

f:id:foxcafelate:20180310162004j:plain

 

この脅迫メールを受けての、JJ Medsの対応は、MOM(メールオーダーマリファナフォーラムに掲載されています。

 

f:id:foxcafelate:20180310161914j:plain

チームリーダが状況を確認した後、すぐにこの事態への対応アクションを取ました。

  • Webサイトをオフラインにする
  • 全てのIDを削除する
  • セキュリティ会社にマルウェアの削除とWebサイトへのその他のハッキング対応を依頼

そして顧客にとってこの対応がどうなるかを明示しており、

  • 残念ながら次のお知らせまで新規オーダーは受けられない
  • JJ Medsサイトはセキュリティが担保されるまでオフラインのままとなる
  • これらのハッカーのアクションにより、次の知らせがあるまでメンバーには価値を提供できない(※)

   ※サイトを閉じているので追加情報開示が無い、あるいはサービスを提供できないことを指して

    いるのかと推測します

 

実際にWebサイト(http://jjmeds.com/)にアクセスしてみたのですが・・・確かにオフラインでした

f:id:foxcafelate:20180310162019j:plain

◆キタきつねの所感

データ侵害を受けて、JJ Medsのようにサイトを閉じるといった対応はなかなか取れない事業者が多いかと思います。

身代金金額も1000ドル相当と、個社(あるいは担当者)が払えそうな額ですし、払うという判断が出ていてもおかしくなかったのですが、顧客の個人情報(イメージファイル)が実際にハッカーに漏れている可能性が高い中、ビットコイン(身代金)支払いを断るというのも勇気ある判断だったかと思います。

もしかするとデータは漏えいしてないという内部判断の上であったかも知れませんが、それにしてもあまり聞いた事のない『漢』の対応に思えました。

その上でイメージファイルへの更なる不正アクセスあるいは暗号化被害を防ぐために、Webをオフラインにして全てのID(※3000人以上のユーザIDと特権ID?)を削除・・・(後でバックアップ復帰できるのかも知れませんが)、すわわちDBを使えなくする臨時対応も注目すべき対応策だったかと思います。

この後どうなるのかとても気になる事件です。ハッカーは顧客情報を報復開示してしまうのか顧客の反応は?と気になるのでので、(時間が取れれば)継続ウォッチしてみたいと思います。

 

更新履歴

  • 2018年3月10日PM(予約投稿)