Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

日本でも公共団体はランサムに気をつけるべき

不正アクセス事件 つぶやいてみた。 海外事件

カナダの5大湖沿いのワサーガ・ビーチ市がランサムウェアに襲われ、ランサム(身代金)を支払ったようです。

www.simcoe.com

Municipal officials say they’ve paid off part of the ransom and received the decryption code to begin unlocking the first of town hall’s three servers — and regain access to data that’s been inaccessible for more than a week.

More than 70 workstations — laptop and desktop computers — need to be scrubbed and reloaded with new software.

(Simcoe.com記事から引用)

4月にWebサイトと複数サービスのコンピュータシステムにランサムウェアがインストールされている事を発見し、3つのサーバにアクセスが出来なくなったと報じられています。影響範囲としては70台の端末に対しソフトウェアの再インストールを余儀なくされたようです。

市側は、ランサムを支払い復号コードを(無事に)受領し、1週間以上アクセスできなかったサーバへ再びアクセスする事が可能となったとの事。(いくら支払ったかは不明)

 

◆キタきつねの所感

米国でまたランサム被害が発生し、そして支払い実績も着実に増しています。日本でまったく同じ攻撃が成功するかは(今回の事件の手口が公開されていませんので)分かりませんが、公共が弱い&住民への影響を考えて身代金を払う傾向が高いという事から、攻撃者は日本の地方公共団体に対しても攻撃を仕掛けてくる頻度は高くなると推測されます。

The Town has also installed a new and secure off-site back-up service to protect the data from future attacks.

(Bayshore broadcasting記事より引用)

 

3月にはアトランタ市でのランサムが報じられていましたが、防御の弱い所を突く攻撃が多数成功している以上、地方団体は攻撃を受ける事を前提とした検知・回復への意識変更が求められているといえるかも知れません。

www.itmedia.co.jp

日本で政府・金融・重要インフラといった分野に防御意識が集中していますが、これ以外で海外事例を見て怖いところが、医療(ヘルスケア)、地方公共団体、そして最近は攻撃を受けつつあり、今大学、、、といった所でしょうか。

閉域網(クローズネットワーク)でも穴を攻められたWannaCryの例を出すまでもなく、どこかネットに繋がってしまっているシステムは、安全であるとは言い切れなくなってきています。これらの分やでは、特にランサムに対しては(閉域網ではまず間違いなくパッチ当ての課題を抱えているはずなので)十分に警戒すべきだと思います。

 

 

参考

foxsecurity.hatenablog.com

 

ランサムウェアのイラスト(パソコン)

 

更新履歴

  • 2018年6月3日AM(予約投稿)

私の情報収集法を見直し中

私のセキュリティ情報収集法

先日の名和さんのお話を聞いて刺激を受けたので、自分の情報収集法も少しづつ変えようとしています。まず手を出したのが、Twitterのフォロー先。下記のような所を参考にして少し増やしました。

www.globalsign.comwww.cyberdb.co

とは言え・・・最近Twitterを見れてない時も結構あるので・・・

 

その他のソースで最近注目しているのが、オーストラリアのセキュリティ専門家、特にHave I Been Pwnedは、プレミアム・アウトレットの情報漏えい等も、ここが発信でした。

Troy Hunt: Have I Been Pwned - Troy Hunt

 

辻さんも、このサイトの機能(自分のメールアドレスが漏えいしたかどうかをお知らせしてくれる)記事を書かれてましたが、

csirt.ninja

上記は、そのブログ記事。更新情報をUPされるのを俯瞰するには、Twitterだと流れてしまう可能性もあるので、こちらをRSS登録しました。

 

他にRSS登録したのが、infosecurityマガジンと、scマガジン。両方共に記事の更新頻度が高いのが良いなと思います。

www.infosecurity-magazine.com

www.scmagazine.com

最後が、Lewis Morgan氏のサイト。月次でデータ侵害事件をまとめた記事をUPされているのですが、日本で報道されてないような、あまり知られていない事件が結構あったりしますので、ブログ・調査の参考にしたりしています。

www.itgovernance.co.uk

名和さんが指摘していた、英語圏以外のソース(ロシア語や中国語サイト)からの情報収集については・・・まだ模索中です。あまり進んでいませんが、何が良い所をみつけたら、書きたいと思います。

 

記者・新聞記者のイラスト

 

更新履歴

  • 2018年6月9日AM(予約投稿)

アフラックの個人情報漏えい

不正アクセス事件 海外事件

アフラックの代理店のメールアカウント経由で顧客の個人情報が漏えいしたようです。

www.wxyz.com

 

記事を見ると、5/25にアフラックとCAIC(Continental American Insurance Company)がリリースを出したとあるのですが、原文は探しきれませんでした。2018年1月17日~4月2日の間にメールアカウントへの不正なアクセスを受け、顧客の個人情報(名前、住所、生年月日、社会保障番号、銀行口座情報)が、営業代理店の少数のアカウントから漏えいしたと発表。

会社(アフラック)は、パスワードリセットをすぐに実施し、特定のメールアカウントを隔離し、侵害を受けた保険営業代理店にコンタクトを取ったとの事。その後サードパーティフォレンジックチームと契約し事件を調査中。

 

 

◆キタきつねの所感

こうしたケースがサプライチェーンが狙われるというケースに当たるのだと思います。パスワードリセットをした後で当該代理店に連絡を取ってますので、侵害を受けたのは、アフラックのメールシステムであった事が推測できます。

(以下状況からの推測)IDとパスワードが漏えいして、そのログイン情報を使われて不正にメールを閲覧され、そこに顧客の個人情報があった、そんな事件であるようです。だとすれば、2つの脆弱点を狙われたと言えるかも知れません。

1つは営業代理店に対する教育不足。パスワードが漏えいしていたのだとすると、アフラックが自社のサプライチェーンを守るために、もっと出来る事があったのではないかという事です。事件の経緯が今回と同じではありませんが、日本のアフラックでも2011年に代理店から顧客情報が漏えいしています。そう考えると、サードパーティのWeakest Link(一番弱い鎖)として代理店のセキュリティを(もっと)強化する必要性があった可能性があります。

scan.netsecurity.ne.jp

2点目は、毎回書いている気がしますが、(代理店)の外部アクセスに対する多要素認証が入ってない事でしょうか。せめてアクセスする端末を限定する、例えばIPアドレス制限などがあれば、こうした事件の多くは防げる気がします。パスワードだけにセキュリティの多くを任せるのはもう限界である、その認識を上位の会社が持たない限り、サプライチェーン潜在的脆弱性はずっと残り続ける、この事件もそうした事を示唆していると思います。

 

おまるのイラスト(赤ちゃん)

 

更新履歴

  • 2018年6月3日AM(予約投稿)

トップガンからの情報収集への気づき

行ってきた。 つぶやいてみた。

日本を代表するサイバーセキュリティ技術者(トップガン)、名和さんの講演と、その後直接お話を伺う機会がありました。

www.nhk.or.jp

名和さんの講演は過去に何度か拝聴した事がありますが、資料にはあまり詳細の事が書かれてませんが(お立場上あるいは、諸々のNDAもあるのかも知れませんが・・・)講演では色々と補足情報を話していただけるので、いつも楽しみにしています。

ただ、一般のセミナーでは評価が分かれる場合、嫌いな(肌に合わない)方も少しいるかも知れません。なるべく普通の人でも分かりやすい様に説明してくれるのですが、実際に発生したインシデント事例をベースに話されるので、その背景事情が多少なりでも分からないと何を言っているんだろう。。。」と話題が頭からすり抜けてしまうケースもありますし、自衛隊ご出身という事もあり少し話し方に癖がありますので、話術に優れた他のセキュリティ専門家の方が好みという人も多いかも知れません。

今回は、講演の後に直接お話を聞けたのですが、非常に刺激を受けました。事件での具体的な攻撃手法などの話もたくさん聞けたのですが、、流石に個人のブログに書ける内容を超えていますので、ここをお読みの方にも(多少は)参考になりそうな点を少しご紹介いたします。

 

どうやって情報収集するのが良いのかと、質問をぶつけてみたのですが、こんな助言を頂きました。

  • 詳しい人とつながる(ICQ等)
  • 毎日最低300記事を読む(RSSリーダ活用)
  • 英語検索サイトだけでは駄目

まず1番目ですが、情報収集には詳しい方(キーマン)をたくさん作る事を挙げていらっしゃいました。そして活きた情報をすぐに交換できる関係を構築する事を言われてました。

これは人脈つくりの基本的な事ではありますが、特に海外のキーマンと繋がるのは私も含めて、少しハードルが高い部分があるので、私はここを少し読み替えて、TwitterSNSで有益な情報を発信している方を探してつながるところから始めるのが良いかなと考えました。

2番目ですが、ここが日本のトップガンといわれる方の、「日々の地道な努力」を強く感じました。超多忙である名和さんが出来て、それより時間的な余裕があるはずの自分に出来ないのは(家族の仕事に対する協力の部分を除けば)言い訳にしか過ぎないのでしょう。名和さんは1日1時間はこうした情報収集を実践されていると話されていました。

まずはルーチンにする事、そして、収集した情報からコアな情報を拾い上げる能力を毎日の取り組みで鍛える事。私もやってない訳ではありませんが、こなしている数がまったく違っていました。

最後は、サイバー攻撃をかけてきている方に入り込む事を示唆した内容です。Google検索は便利ではありますが、ロシア語の検索サイトであったり、中国のWeChat等も時にはウォッチできないと、名和さんクラスの手がける仕事はこなせないという事を言われていた気がします。

会話の折で名前をメモするのを忘れてしまったのですが、Firefoxのアドオンで海外検索エンジンを有効活用できるものがあると言われてた(気がする)ので、少し研究してみようかと思っています。

 

余談とはなりますが、名和さんの講演で資料には一切書かれず、「○○は気をつけが方がいいですよ~」といった話が出た際には、実際にそこの脆弱性を突かれた事件を名和さんは知っている、という事を指していますので、その観点で聞かれると参考になる事も多いかと思います。

意外と口調が雑談ぽく聞こえるのですが、ある意味、(NDA等にひっかからない程度に)ギリギリの範疇で聴講者に伝えようとしている?感がありますので、よく気をつけた方が良いかと思います。

 

掃除のスタッフが社長の机を見れる可能性”であったり、”ニートラップの仕掛け方”であったり、冗談まじりに話される雑談(少し脚色があるかも知れませんが)の裏側にある事件を読み取れるかどうかが、(セキュリティ分野の方は)問われる講演であるのかも知れません。

あまり読み取れない場合は・・・講演後にお時間あれば直接お話されると、(トップガンの方らしく無く気さくな感じで)丁寧に教えてくれますよ。本当です。

 

 

トランプのイラスト「エースのカード」

 

更新履歴

  • 2018年6月2日AM(予約投稿)

森永乳業は説明責任を果たしてないのではないか?

クレジットカード情報漏えい事件 不正アクセス事件 考えてみた。

6月4日に森永乳業フォレンジック調査結果を受けて記者会見をしたようです。

mainichi.jp

 

 ■公式発表

健康食品通販サイトにおけるお客さま情報の流出に関するお詫びと調査結果のお知らせ


 

不正被害が発生しているのが残念なところ。(森永乳業の対応が遅れた結果とも言えそうです)

約300件、総額約2000万円分の不正利用の被害が確認されたと発表した。

 

2万9773人のカード番号や名義の情報が漏れた可能性が高く

 

カード情報以外にも、12年1月22日~17年10月16日に同通販を利用した6万3049人分の氏名や住所、生年月日などの情報が漏れた可能性がある。

 

17年10月にデータ管理システムを切り替えたが、それ以前のシステムが脆弱(ぜいじゃく)で、不正アクセスによって情報が引き出されたとみられる。

毎日新聞記事より引用) 

一通りの各社関連記事を読んでみたのですが、記者会見での発表内容を各社そのまま掲載している感があり、ほぼ書いている事は一緒でした。

これをもって森永乳業としては幕引きとしたいのだと思うのですが、ここで事件がクローズするのは非常に残念です。記者会見の場にいた記者の方々は質問ができなかったのでしょうか?

今回の漏洩事件が直接的に何の脆弱点を突かれたのかすら発表されていません。当然の事ながら、フォレンジック調査会社の最終レポートには、脆弱点は記載されていたはずです。だとすれば、森永乳業が意図的に発表しなかったと考えるのがしっくりきます。

こうしたケースの場合、私が見てきた多くの事件では例えばSQLインジェクションとか、OpenSSLとか、変なログに漏洩情報が書かれていたといった、表に発表したくない恥ずかしい脆弱性を突かれた事が多い気がします。

今回のケースでも、ゼロディ攻撃を受けた可能性もあろうかと思いますが、だとしたら・・仕方なかった攻撃と説明しやすいと思いますので、記者会見の場でゼロディと公表されたのではないでしょうか。

また、脆弱性を突かれた、、と漠然と発表されていますが、森永乳業はどの程度の頻度で旧サーバに対してパッチ当てをしていたのかも不明です。

 

※追記:日経XTECH記事に記者会見での広報コメントがありました。

「旧サーバーに対しては、「定期的なセキュリティ診断とセキュリティ対策を施していたが、調査では100%脆弱性がなかったと判断できなかった。報告書では、何らかの脆弱性が悪用されて流出した可能性が高いとされた」(同社広報)という。」

この内容もそれらしい言葉が並べられていますが、定期的なセキュリティ診断、セキュリティ対策が不十分だった可能性は高いかと思います。

 

前回のリリースでは、セキュリティコードも含めて漏洩した可能性があるとしていましたが、今回の発表では、セキュリティコードは漏れてなかったと発表されました。セキュリティコードまで漏れる場合は、往々にしてかなり大きな問題を抱えていた事に他なりませんので、その点は良かったと思いますが、ここでも疑問が出てきます。(何で記者の方々は聞かないのだろう、と歯痒く思うのですが、もしかすると質疑応答が無い記者会見だったのかもしれませんね)決済代行会社との間が攻撃された訳ではなく、森永乳業の会員DBであり、その個人情報が格納されたテーブルへの不正アクセスを検知する対策は何も打たれてなかったのか?という事です。WAFやTripwireが入っていて検知できるものだったのかどうかわかりませんが、警察の事件調査コメントが掲載されている読売新聞の記事を見ると、

www.yomiuri.co.jp

関係者によると、健康食品の購入者の名前やカード情報を管理していたサーバーが2015年1月~昨年10月、複数回、外部から不正接続された痕跡があった。

(読売新聞記事より引用) 

2年弱の間に複数回不正侵入されていると書かれています。言い方を変えると、森永乳業は2年弱、不正侵入を検知できてないのです。

そして不正侵入に気づかないまま、サーバを更新し、旧サーバの(事件)証跡(の多く)を消失させてしまっています。

 

(根拠はありませんが、複数回の侵入で数万件のデータを持っていかれたとすると、インジェクション系の脆弱性だったのかなと想像します)

 

今回のフォレンジック調査は、旧サーバ本体ではなく、バックアップデータから行なっているため、その結論についても「推定」となっているのは、森永乳業側の監視体制に問題があったからと言えるかもしれません。

 

と、ここまで書いてきて、何か違和感があると思っていたのですが、森永乳業の今回のリリースには、「原因(もっと詳細の)」と「対策案」が書かれてない事に気づきました。

 

不正侵入への検知、パッチ当て、ASVスキャン(侵入テスト)、DB登録された顧客情報の保管期間管理、、、想像されるセキュリティの不備はいくつものポイントがあるのですが、「脆弱性」でひっくるめて説明されているだけなので、また似たような事件を森永乳業が起こす可能性は残ってしまっている事を懸念します。

 

ここまで書いてきましたが、、、色々調べていると同じ事を考える人もいらっしゃるようです。

フォレンジック調査に関してはもっと脆弱性の可能性部分であったり、対策を行うべき点であったりは書かれていると(過去の事例からかんがえると)思います。だとすれば、公開しないという判断をしたのは森永乳業という事になります。

 

www.orangeitems.com

 

(以下根拠はありません)ゼロディ攻撃だったら事件の影響を緩和するために記者会見かリリースで発表すると思うので、可能性がある脆弱性を発表しない、あるいは今後の対策を発表しない事から考えられるのは、、やはりSQLインジェクションや変なログに個人情報を書いていたり、暗号化すべきテーブルを暗号化してなかった、というような、セキュリティ対策の基本ができてなかった事が原因と考えられているので、恥ずかしくて発表できなかったという可能性を考えてしまいます。

※繰り返しますが勝手な想像です。

 

いずれにせよ、大手企業である森永乳業は、事件内容であったり、今後の対策をもう少し説明する責任があったのではないでしょうか。

 

 

 


ä¹³çã»ãã«ã¹ã¿ã¤ã³ã®ã¤ã©ã¹ã

 

更新履歴

  • 2018年6月5日PM(予約投稿)

廃業する前に情報漏えいを公開すべきだったのではないか?

つぶやいてみた。 クレジットカード情報漏えい事件

ネットショップ担当者フォーラムに閉店したECサイトの情報漏えいに関する記事が載っていました。

netshop.impress.co.jp

輸入工具、自動車工具の専門店ワールドインポートツールズ / WORLD IMPORT TOOLS

f:id:foxcafelate:20180601184158j:plain

 

事件の状況 
  • 2017年4月20日から7月26日までサイトでカード決済をした最大1,003件のカード情報が不正アクセスにより漏えいした疑い
  • 当該ECサイト(ワールドインポートツールズ)は、2017年12月28日に閉鎖し、実店舗も2018年1月31日に営業終了し廃業している
  • ECサイトを運営していたナカミツは廃業しているため、代表清算人が閉鎖したECサイト上で事件を公表した。

f:id:foxcafelate:20180601184203j:plain

 

日時 出来事
2017/4/20~2017/7/26 ワールドインポートツールズでクレジットカード決済をしたカード情報最大1,003件が漏えいした可能性
2017/7/26 カード会社から決済代行会社を通じて情報漏えいの懸念があると連絡を受け、カード決済を停止。
  PCF社に調査を依頼
2017/9/12 PCF社から調査報告書を受領。不正アクセスの直接的な証跡は発見できなかったもののカード情報が抜き取られた可能性は否定できない事が判明。
2017/12/28 ワールドインポートツールズが閉店
2018/1/31 実店舗が営業終了(廃業)
2018/5/21 代表清算人が事件を公表

 

◆キタきつねの所感

この事件情報を見た際に、いくつかの点で違和感を感じました。一つが諸々の事情はあるのかと思いますが、9月12日時点で運営者はカード情報が漏えいした可能性を把握していながら、12月末にECサイトを閉鎖している点です。代表清算人が事件を5月に発表していますが、事件を発表せずにサイトを閉鎖したのは責任を逃れる、あるいは事件を隠蔽する意図があったと言われても仕方ないのではないでしょうか。

決済代行会社(SMBCファイナンスサービス)や契約していたアクワイヤラーがあるならば、事故をクローズせずに廃業させてしまっている点で、加盟店管理が出来てなかったと言えそうです。

当該のECサイトに関しては、漏えいしたデータが約3ヶ月分という事から、恐らく自社システム側でカード情報を保存していたのではないかと推測します。実行計画の対応期限(2018年3月末)前の、2017年7月に不正アクセスを受けている可能性が高いのだと思いますので、カード情報非保持にシステム改修する前に攻撃を受けてしまったのではないでしょうか。

他には、決済代行会社のシステム側に不備があった可能性も考えられますが、SMBCファイナンスサービスのサイトを確認する限り、そうしたリリースも出てませんし、PCI DSSを維持している様ですので、ECサイト(加盟店側)のセキュリティ不備であった可能性の方が高そうです。

 

 

非常停止ボタンのイラスト(ホーム)

更新履歴

  • 2018年6月1日PM(予約投稿)

経営層を動かす3段階の取り組み

つぶやいてみた。 調べてみた。

6/1に記事を書いた経営指針にサイバー攻撃対策を盛り込む事を促す経産省の方針ですが、産業サイバーセキュリティ研究会の第2回の配布資料が出ていました。

foxsecurity.hatenablog.com

 

f:id:foxcafelate:20180601192338j:plain

資料3 産業サイバーセキュリティ強化へ向けたアクションプラン

 

◆キタきつねの所感

資料を俯瞰する限り、やはりサイバーセキュリティ経営ガイドラインの実効性を高めるための施策と言えそうです。いくつか面白いなと思うところがありました。

セキュリティは儲からないと予算を渋るロウガイカムチナカノウセイガタカ経営陣に対して、まずはサイバーセキュリティ経営ガイドラインで方向性を示し、2段階目として今回の、経営指針にサイバーセキュリティ対策を盛り込む・・つまり投資家に対して経営陣がセキュリティ対策を実行する責任がある事を宣言する、そして3段階目として、自社のセキュリティ対策の状況について、外部監査などを受け、その評価結果を開示する(客観評価・可視化)。

 

f:id:foxcafelate:20180601192219j:plain

 

経産省の狙い通りに進むかはわかりませんが、産業サイバーセキュリティ強化へ向けたアクションプラン を読む限り、理論武装はしっかりしていますし、段階を踏んで有識者を含む研究会の成果としている所もありますので、上場企業は反対しずらいのではないでしょうか。

 

私個人としては、実務者向けのベストプラクティスを作る動き(サイバーセキュリティ経営プラクティス検討会)も面白いと思いました。サイバー攻撃等の実際の事故を教訓とした『対策事例集』が実務的な内容でまとまって欲しいものですが、これが玉虫色なお役所表現に終始する成果物になってしまうのであれば、、、経営者のセキュリティ投資への温度感にも影響してしまうかも知れません。

f:id:foxcafelate:20180601193816j:plain

 

色々と他にもアクションプランがあるので、内容が気になる方は、資料3を是非読んでもらいたいのですが、うまくいけば良いなと思うのが、CISO教育。

f:id:foxcafelate:20180601194416j:plain

とはいえ・・・ちょっとコンピュータを知っている程度の、名ばかりCISOの役職者の方々が受講しても効果は薄いのではないかと思います。成功の鍵は、戦略マネージメント層の受講資格をきちんんと定義する(名ばかり・・の方にはハードルが高い内容で)事でないかと思います。

 

新たな構想として人材不足を団塊世代を活用という点では、この取り組みも面白いと思います。とは言え・・単にITに従事してきた方・・・ご老体の諸先輩の中には、優秀な方(この構想に当てはまりそうな方)も居ますが、だいぶ多くの方がIT適正無いケースも見受けたりするので・・・再教育される方も大変ではないかなと愚考します。

f:id:foxcafelate:20180601194542j:plain

ハローワークの講習で一定のレベルに達した方だけを、再教育プログラム受講条件にするなど、ふるいが必要な気がします・・・。

 

とは言え、面白い動きなので今後もウォッチしていければと思います。

 

株主総会のイラスト(外国)

 

更新履歴

  • 2018年6月1日PM(予約投稿)