Have I Been Pwnedにまた新たな漏洩データが掲載されていました。インドのビジネスコンタクトのデータベース提供会社であるadaptから936万件のデータが漏洩したようです。

◆キタきつねの所感

2018年11月にセキュリティ研究者（Cyber Risk Research社）のBob Diachenko氏が、936万件の個人情報（メールアドレス、会社名、役職、名前、電話番号、住所、ソーシャルメディアプロファイル）が含まれる保護されてないデータベースを確認したと事件詳細にあります。

adaptという会社を知らなかったので、調べてみたのですが、3700万件＋のコンタクト情報を持つサービスを展開しているようです。結構大きなデータベースを持つのに・・個人的に聞き覚えがないなと思ったのですが、インドに本拠地がある会社だったので、インドベースで市場を広げているからかも知れません。

Linkedinで見てみると、本社はインドのCoimbatore、設立も2018年と比較的新しいサービスのようで、従業員規模も50名以下、どうやら急成長しているベンチャー企業のようです。

日本で言うと、クラウドで名刺情報管理サービスを提供しているSanSanやEightが業態として一番近いかも知れません。逆な見方をすれば、将来SanSanやEightが同様な事態に陥る可能性もあるという事になるのですが・・・。

今回のデータ漏洩に関して、Bob Diachenko氏とTroy Hunt氏というセキュリティ研究者が情報を公開している事から、既にadaptの顧客/登録情報が漏洩したのは間違いないと思います。しかし、adaptは正式にコメントを出してません。

ベンチャー企業であると思われる事から推測するに、公開すると自社のビジネスへの影響が大きすぎると判断してセキュリティ専門家の警告を無視したと考えられます。

Troy Hunt氏が全世界に公開した情報、これは個社によって事情は違うとは思いますが、・・・一種のメディアになりつつありますので、無視が正しい選択だったとは私は思いません。

foxsecurity.hatenablog.com

元々のデータ漏洩、公表内容から想像するに、データベース（全体の約25％）をごっそり取られているようですので、adapt社はかなり深い所までハッキングされたと考えられます。そしてそれを自社で気づけず、ブラックマーケットに情報が流れてしまったという経緯だと推測されます。

ベンチャー企業がビジネス拡大を急ぐあまりにセキュリティを軽視した、かどうかまでは分かりませんが、個人情報を取り扱う以上、その保護に責任をもつべきであり、それが出来ないのであれば顧客は嫌気を指し、そのビジネスなるものは信用を失い、逃げていってしまうかも知れません。

個人情報を持つデータベースは、Webサーバからみて奥に隠してあったとしても、いつも狙われている、そうした認識をもって対策、および監視し続ける事が重要なのだと思います。

更新履歴

• 2018年11月25日AM（予約投稿）

11月21日はインターネット記念日だったそうです。もうすぐインターネット（の原型）が登場して50年になるんですね。。。それはさておき、世界で最初のサイバー攻撃の記事がなかなか面白かったのでご紹介いたします。

nazology.net

1988年、ロバート・T・モリス氏が世界初のワームである「モリスワーム」を作り上げてしまったとき、彼はコーネル大学の大学院生でした。彼は、インターネットの大きさ、つまりどれだけの数のコンピューターをインターネットに接続できるかを知りたいと考え、コンピューターからコンピューターへ信号を送り、その数を計上するために各コンピューターから制御サーバーへ信号を返すプログラムを書いたのです。

このプログラムは、予想以上にうまく働きました。いや、「働きすぎ」ました。モリス氏には実際、通信があまりにも速く行われたら問題が生じることが分かっていましたが、彼が設定した制限は、大部分のインターネットを詰まらせることを防ぐには不十分でした。彼がこの事態に気づいた時には、システム管理者に問題の発生を知らせるために書いたメールさえ、送信することができない状態になっていたのです。

これこそが、分散型サービス妨害攻撃（DDos攻撃）と呼ばれるサイバー攻撃の最初の事例です。

（ナゾロジー記事より引用）

◆キタきつねの所感

機能を良くしようと考える研究者は意図せずに、攻撃者になっている事もあるという例と言えるかも知れません。モリス氏のモリスワームは当時インターネットに接続していたコンピュータの1/10、約6000台を感染させ、被害額は1000万ドルにも及んだといわれています。

※彼はその後MITの准教授、Y Combinator（スタートアップへの投資・教育企業）の共同創業者として働いていますが、今はリタイアしているようです。

当時とは違い、今やPCのみならずIoT機器までインターネットに繋がっており、当時の影響を考えると彼が実刑判決を受けずに、その後ホワイトの道を歩んだ事はインターネット発展に貢献があったと言えそうです。

彼のもう１つの功績は、モリス･ワームのあまりの被害に、カーネギーメロン大学に『ＣＥＲＴ』が作られたことでしょうか。

それでは、世界最初のサイバー攻撃ではなく、ハッキング・・・はどうだったのかな？と調べてみると、1903年の無線機の公開実験が最初とされているようです。（詳しくは以下の記事へ）

gigazine.net

技術の進展と犯罪（ハッキング）。便利な技術であればあるほど、いたちごっこである事は間違いありません。

因みに、世界最古のハッキングは･･･物語の中の話ではありますが、私は「千夜一夜物語」（アラビアンナイト）、「アリババと40人の盗賊」での呪文『開けゴマ』に一票投じたいところですが、、、どうやって扉が自動的に開くのか、認証機構が分からないところも含めて、ちょっと信憑性にはかけるかも知れません。

更新履歴

• 2018年11月24日PM（予約投稿）

日本の主要メディアの報道が無いのがとても不思議なのですが、米国郵便公社（USPS）が1年以上も脆弱性を放置して最大6000万人のユーザ情報が影響を受けた可能性があったと公表されています。

www.theinquirer.net

THE UNITED STATES POSTAL SERVICE (USPS) has plugged an API flaw that exposed the personal data of 60 million customers.

As per Krebs on Security, which received a tip-off from an anonymous researcher, the glitch stemmed from an authentication weakness an API tied to USPS' 'Informed Visibility' programme, which is designed to help companies "make better business decisions by providing them with access to near real-time tracking data" about mail campaigns and packages.

The tool, however, also lets anyone logged in to USPS.com to search the system for account details belonging to any other users, including email address, account number, street address and phone number.

And thanks to the programme's "wildcard" search parameters, anyone logged in with a basic understanding of modifying parameters in the browser-based console could pull up reams of data on other users.

"Everything from usernames and account numbers to physical addresses and phone numbers was there for the taking," Krebs notes.

（The Insider記事より引用）

◆キタきつねの所感

USPSと言えば、日本では『日本郵政』に相当する米国の郵便事業会社です。そのUSPSが企業のメールキャンペーンやパッケージ配送などについてトラッキングをする目的で開放しているAPIがあり、そこの脆弱性を元に電子メールアドレス、アカウント番号、住所、電話番号など、自分ではなく他のユーザアカウントの情報も検索する事ができたようです。

更に問題だったのが、この検索において『ワイルドカード』が使えたこと。つまり、、、他のユーザアカウントの情報を大量に取得できる可能性があったという事になります。

とは言え、ここまでであっても、ある意味バグであったとしてすぐに修正すれば、今回ほどに大きな問題にはならなかったでしょう。USPSは、この脆弱性を見つけた研究者が1年以上前に報告したのを放置していたらしく、その旨を著名なセキュリティリサーチャーであるブライアン・クレブス氏に連絡した事で事件は表面化しました。

クレブス氏は、このBlogでも度々ご紹介していますが、海外のセキュリティ業界では知らない人は居ないといっても過言ではない元ワシントン･ポストの記者であり、彼のブログ、Krebs on Securityは多くのセキュリティ専門家に影響力があるサイトとしても有名です。

クレブス氏は、脆弱性を連絡してきた研究者の内容が正しい指摘である事を確認した上で、USPSに連絡します。USPSがすぐにこの脆弱点を修正したのは皮肉ですが、公式には不正な個人情報流出、不正利用は確認できなかったとUSPSはコメントしています。

A cursory review by KrebsOnSecurity indicates the promiscuous API let any user request account changes for any other user, such as email address, phone number or other key details.

（Krebs on Security記事より引用）

Krebs氏の記事を見ると、彼の大まかなレビューで任意のユーザが、他のユーザの電子メールアドレス、電話番号、その他の重要情報を変更要求できたと書いていますので、非常に危ない脆弱性であった事が分かります。USPSは一部のフィールドに対して変更検知する仕組みがあった様ですので、攻撃の全てが成功するわけではなかったと思われますが、ユーザ変更がUSPSのビジネスを混乱させるには十分な脆弱点であった様ですし、不正な外部利用という点では、電子メールを使ったフィッシング、あるいは標的型攻撃を行う材料となる可能性もあったと考えられます。

USPSは、APIの利便性（顧客へのサービス）ばかりに目が向いており、自分たちが提供しているサービスに対するセキュリティがどうなっているかについて意識が薄かったと考えられます。これは必ずしも海外企業だけに特有な現象ではなく、日本企業が利用するFinTechサービスでAPIの脆弱性が指摘される事も多々あるように、いつでも通信や認証の脆弱性は外部から狙われているのだという事を正しく理解すべきなのだと思います。

自分たちだけでは脆弱性対応に限界がある。それも事実かも知れません。

だからこそ、外部のホワイトハッカーを有効に使って対応していく・・・間違ってもUSPSの様に1年も放置しておかない事が求められているとも言えそうです。

更新履歴

• 2018年11月22日AM（予約投稿）

トヨタの工場セキュリティ対策を金融業の平均レベルに・・なかなかインパクトのある発表だったようです。

tech.nikkeibp.co.jp

◆キタきつねの所感

結構インパクトがありそうな講演での発表ですね。トヨタの場合は自社のみならず国内的に裾野（サプライチェーン）が広い事もあり、自動車産業としてこのリーディングカンパニーの取り組みには注目が集まる可能性が高いかと思います。

トレンドマイクロのセミナーでの特別講演でしたか。。

トヨタ自動車では、サイバー攻撃が巧妙化・増加し、闇市場でのビジネスが形成され始めた約5年程前より、企業活動を支えるITシステムのセキュリティ対策を本格化させてきました。また昨今、サプライチェーンのセキュリティ対策強化が国家レベルで謳われるなか、自社で培ったノウハウの関連会社展開を進めてきています。今回は、これらのプロジェクトにおけるセキュリティ対策の考え方や展開戦略についてご紹介します。

気になるのがトヨタが工場セキュリティに求めるセキュリティレベルが『金融業の平均』という部分。PCI DSS等の観点で考えると、製造業の工場には結構ハードルが高い部分もあるのではないかと思いますが、トヨタであれば、一気にレベルを向上させる事も可能かも知れません。

先日のトヨタとソフトバンクの提携の話も、もしかするとこの戦略に関係しているのかも知れません。

tech.nikkeibp.co.jp

セキュリティで足りないリソースは、自社（グループ）至上主義を捨て、他社との提携を使ってでも実現のスピードを加速する方向に舵を切ったと考えれば、早期の実現は既に道筋が見えていると推測することもできます。

日本（世界）を代表する製造業企業であるトヨタの影響力を考えると、これからの自動車業界はコネクテッドカーの分野だけでなく、工場も含めたサプライチェーン全体で、セキュリティ（人命のセーフティではない）を考えていくべき時代になったとも読み取れそうです。

更新履歴

• 2018年11月18日AM（予約投稿）