Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

クレジット決済には一定以上のセキュリティが必要

PCI DSS クレジットカード情報漏えい事件 考えてみた。

侵害を受けたECサイトの選択肢の1つだと思いますが、自社のセキュリティを(開発当初に)よく検討してシステム構築をしなかったツケと言う事もできるかも知れません。

www.security-next.com

 

同サービスは、電子書籍や楽譜、イラスト素材などデジタルコンテンツを取り扱うダウンロード販売サイト。不正アクセスにより、顧客のクレジットカード情報7741件が流出した可能性があるとして、2018年11月12日よりサービスを停止していた。

同社は外部機関による調査のもと、サービス再開に向けてセキュリティ対策の強化などを進めていたが、セキュリティを確保するにはシステムの抜本的な見直しが必要であることが判明。開発に要する期間や事業環境などを検討した結果、サービスの再開を断念したという。

(Security Next記事より引用)

 

■公式発表 「DLmarket」におけるサービス終了に関するお知らせ

 

◆キタきつねの所感

カード情報非保持、実行計画2019でも指摘されていますが、非保持を実現したからといって安全であると、EC加盟店側が油断している所を攻撃されたインシデントが増えてきています。

 

実行計画の改訂ポイントでは、以下の様な注意喚起がなされています。

f:id:foxcafelate:20190331075317j:plain

 

そんな中、今回のDLmaketの『クレジット決済を止める』という判断は、個社の事情を考えると合理的な選択肢の1つではないかと思います。

f:id:foxcafelate:20190327111434p:plain

 

クレジット情報が漏洩してしまった場合の流れとしては、(ブランド/カード会社のルールによりますが)

 ①フォレンジック調査

 ②セキュリティ対策 ※セキュリティ強化(投資)

 ③PCI DSS準拠 ※非保持ソリューション選択であったとしても

といった流れになるかと思います。

 

今回のDLmarketの判断は①の段階で、②③の投資が重過ぎると判断したのだと思います。実行計画では、非保持やSAQなど、ある意味自己宣言的なセキュリティ実施でも法令違反状態ではないと整理されていますが、インシデントが発生すると、元々求めていたセキュリティ体制が維持されている事(PCI DSS等)が確認されないと、クレジットカード決済が復活できないるルールとなっています。

非常にざっくりと(言葉が悪いかも知れませんが)言えば、インシデントが発生するまでは、個社を「信じている」のでセキュリティ体制が本当に出来ているかは個社が大丈夫と言えば通るのですが、いざインシデントが発生すると、個社の言う事は「信じられない」=『セキュリティ対策を怠った方が悪い』として、厳しい対処が求められます

 

欧米の自己責任ルール、それがクレジットカード決済に関わるルールと言えるかも知れません。厳しい言い方をすれば、DLmaketは(クレジット決済を開始する際、あるいは割販法対応で)本来やるべき事をやってなかった結果、6月にサービス停止という判断をせざろう得なかったのだと思います。

サイバー攻撃どのECサイトが襲われるかは運でしか無いという見方もできるのですが、攻撃影響を十分に考慮しないシステムが被害を受けた場合、支払うべき代償は非常に大きくなるリスクがあると言えるかも知れません。

 

 

 

尚、以前もBlogで書いた気がしますが、ECサイトで事故が発生した際に起きる事については、古い事例ですが、以下を見ると(後半のページ)良く分かるかと思います。

 

不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ サウンドハウス

 

 

f:id:foxcafelate:20190331084728p:plain

 

更新履歴

  • 2019年3月27日AM(予約投稿)

新元号に関連して気を付ける事

つぶやいてみた。

新年号が「令和」と決まり、少し仕事場がざわついてました。5月1日0時の切り替えに向けて、IT業界のみならず影響を受ける様々な業界で急ぎ対応が進んでいる様です。

r.nikkei.com

 

 

◆キタきつねの所感

Twitterのホットワードは当然の様に、「令和」「令和元年」「万葉集」が上位を占めていたのですが、面白かったのが、R-1(令和元年=R1年)推しのつぶやき。明治さんは、是非毎年商品名を更新していって欲しいものです・・・(違)

www.meiji.co.jp

 

ホットワードでは「R-18」も人気を集めていました。ちょっと先の話となりますが、令和18年生まれは「R-18」生まれ・・・という事にひっかけた、つぶやきが多数出ていた様です。令和の略称が「R」ではなくて「L」というどんでん返しも考えられなくはありませんが、

news.careerconnection.jp

 

buzzfeed.comさん、既に調べてました

果たして、令和は「Reiwa」と「Leiwa」のどちらで表記されるのか。内閣官房に問い合わせてみた。

内閣官房の官房総務課の担当者はBuzzFeed Newsの取材に対し、「国の公文書はヘボン式ローマ字で表記されます。そのため、ローマ字表記はReiwaと記します」と答えた。

Buzzfeed記事より引用)

 

R-1、R-18は今後もいろいろと飛び交うワードとなりそうです。ふと思い出しましたがR-1ぐらんぷり元号に併せてR-1,R-2・・・と変化していけるチャンスがあるのですね。(おそらくないでしょうが

 

R-1ぐらんぷり2019 公式サイト

 

色々と妄想が広がりますが、元号万葉集から引用されたのは初との事。元号変更を機に古き良き書・・という事で万葉集人気も上がりそうな気がします。

 

===

さて、セキュリティ記事?・・・これだけダラダラと書いていると、どうでも良い気がしますが、お金周りの詐欺事件、あるいはフィッシング活動が盛んになる事が予想されます。

 

詳しくは下の方に参考掲載した記事を見て頂ければと思いますが、、、まず押さえておくべきポイントは、

 ・天皇陛下の御退位および皇太子殿下の御即位に伴い、2019年4月27日から5月6日までが10連休となる

 ・10連休の最終に5月1日(改元変更)を迎える

事だと思います。

 

最大の脆弱点は、「問い合わせ先の銀行やクレジットカード会社が休みである」事ではないでしょうか。考えられる手法は、色々と考えられると思いますが、例えば、

 

 ■改元変更でシステムが止まった >引き落としができない >現金を取りに行くので渡してくれ

 ■改元変更で・・・・ >手形が使えなくなる >引き換えるから手形を郵送してくれ

 ■改元変更で・・・ >クレジットカードの再登録が必要 >(フィッシングサイト)に登録してくれ

 ■改元変更で・・・ >自動引き落とし再登録が必要 >キャッシュカードを郵送してくれ

 

怪しいと思っても、相談できる先の多く(特に銀行の窓口等)が休みであった場合、だまされてしまう方が居ないとは限りません。ATMの振り込め詐欺と併せて、十分に留意したいものです。

 

grapee.jp

 

www.asahi.com

www.fnn.jp

www.zenginkyo.or.jp

 

いつもイラストを利用させてもらっている「いらすとや」さん・・仕事が早い。既にイラスト3つもありました

 

åå·ã®èª¬æããã人ã®ã¤ã©ã¹ãï¼ä»¤åï¼

更新履歴

  • 2019年4月1日PM(予約投稿)

トヨタも狙われる

不正アクセス事件 考えてみた。

トヨタの系列販売店などから310万件の個人情報が漏洩した可能性があるとトヨタが発表しました。

www.nikkei.com

 

■公式発表 弊社東京地区販売店における顧客情報流出の可能性に関するお知らせ

 

2019 年 3 月 21 日、トヨタ東京販売ホールディングス株式会社傘下の東京トヨタ自動車株式会社、東京トヨペット株式会社、トヨタ東京カローラ株式会社、ネッツトヨタ東京株式会社、トヨタメトロジック株式会社の 5 社に加えて、レクサス小石川販売株式会社、ジャミール商事株式会社(レクサス練馬)およびトヨタ西東京カローラ株式会社に対し、ネットワーク上の不正アクセスがあり、同ネットワークに接続されているサーバーに保存されておりましたお客様の情報が最大310万件社外に流出した可能性があることが判明いたしました。

なお、今回流出した可能性がある情報には、クレジットカードに関する情報は含まれておりません。

(公式発表より引用)

 

◆キタきつねの所感

海外(国内)から日本企業を狙うとして、トヨタ自動車というのは、ハッカーなら誰でも考える対象の1つと言えるかも知れません。そんな一定以上のセキュリティ対策を(当然)行っていたと考えられる、トヨタ系列の8社から顧客情報が310万件漏洩した今回の事件は、セキュリティ対策の脇が甘ければ、製造業ならどこも安心できない、そんな風に考える事もできそうです。

 

日経の記事が一番細かく書いているのですが、時系列で考えると、まず海外の現地法人不正アクセスを受けた事が判明した(3/19)後にトヨタ系販売会社ら8社が不正アクセスを受けている事が判明(3/21)しています。

いつから攻撃を受けていたのかについては発表されていませんので、推測の域を超えることはできませんが、おそらくほぼ同時期に攻撃を受けていた(トヨタ攻撃キャンペーンの一環)のだと思います。

流出した恐れがあるのは8社が保存していた顧客の個人情報。トヨタによると、29日午後の時点で個人情報の流出や被害は確認されていない。同社の内部調査で不正アクセスを受けていたことが21日に発覚した。

トヨタ渉外広報部は「大変なご心配をおかけし、おわび申し上げる。グループ全体で情報セキュリティー対策を改めて徹底する」とコメントした。同社は不正アクセスを受けた詳しい経緯や情報流出の有無について調査を続ける。

また、トヨタは同日、タイやベトナム現地法人なども不正アクセスを受けたと明らかにした。社内調査により19日に発覚した。被害の状況は調査中だという。

日経新聞記事より引用)

 

最初に疑問に感じたのは、8社が全部襲われたの?という部分ですが、トヨタ東京販売ホールディングス株式会社傘下に、5社(東京トヨタ自動車株式会社、東京トヨペット株式会社、トヨタ東京カローラ株式会社、ネッツトヨタ東京株式会社、トヨタメトロジック株式会社)がぶら下がっているので、共通システムが影響を受けたのであろう事が推測されます。

f:id:foxcafelate:20190331064845j:plain

更に言えば、4月に5社が統合予定でしたので、様々なシステムを統合していた最中であろう事も推測されます。

f:id:foxcafelate:20190331065450j:plain

トヨタ、東京の販売会社など5社統合へ 店舗網を見直し:朝日新聞デジタル

 

では残りの3社はと見ると、レクサス小石川販売株式会社、ジャミール商事株式会社(レクサス練馬)、トヨタ西東京カローラ株式会社、つまりレクサス系販売店なのですが、会社組織も違う訳であり、データ侵害を受けたのは何故なのか?と考えてしまいます。

 

公式発表にヒントとなりそうな記載かなと思ったのが、

 

同ネットワークに接続されているサーバーに保存されておりましたお客様の情報が最大310万件社外に流出した可能性があることが判明いたしました。」

部分でした。すなわち残り3社も同じシステム基盤を使っていたか、クラウド上の隣接ネットワーク上に顧客データを保存していたのかなと推測します。

 

一番この条件にぴったりしそうなのが・・・全国の系列販売店向け業務システム「ai21(アイ21)」かな?と思います。2015年のリリースになりますが、、、

global.toyota

 トヨタ自動車(株)(以下、トヨタ)は、全国の系列販売店向け業務システム「ai21(アイ21)」の全面改良を、2014年12月に実施し、このほど販売店への本格展開を開始した。

 今回の全面改良の第一の目的は、お客様へより質の高いサービスを提供することである。トヨタの販売店では約20年前よりノートパソコンを活用した営業活動に取り組んでいるが、今回、営業担当者用ノートパソコンの営業支援機能をタブレット端末に対応させることで、より迅速できめ細かいお客様への対応が可能となる。
 さらに、高効率なクラウド型のサーバーセンター構築等による販売店のITコスト低減やシステム担当者の工数削減といった、販売店の業務効率向上も見込んでいる。

 ai21は、トヨタが提供する、車両販売店向け統合型業務システムで、営業担当者の商談・受注管理から、ご購入後の点検・整備のご案内/受付業務、財務会計・人事給与といった事務領域まで、幅広い範囲を総合的にカバーする。2001年から展開を開始し、現在では全国のトヨタの販売会社約300社が利用している。今回の全面改良は、2007年以来2度目となる。トヨタ系全チャネルおよびレクサス店の合計約5,000店舗で、本年12月までに新システムに順次切替える

トヨタニュースリリースより引用)

とあるので、被害を受けたトヨタ+レクサスの販売店系列8社がこのシステムを使っていた可能性は高いと思われます。

ただ、データ侵害件数の部分が説明がつきません。

今回の漏洩データは、(現時点では)最大310万件ですが、トヨタ系列の販売店が持つであろう新車顧客データとしては、年間100万台程度はあると思いますので、その試算だと3年分にしか過ぎず、

 

更に産経新聞の記事では、過去のデータやイベント来場者といった見込み客のデータも含まれていたとありますので、

過去にトヨタ車に乗っていた顧客や、イベントなどの来場者の情報も含まれる可能性がある

産経新聞記事より引用)

システム全体ではなく、一部のデータが漏洩した理由が説明できません。

 

勝手な推測でしかありませんが、可能性として考えられるのは、例えば、

・4月に向けての5社統合を控えて、本番データ(顧客データ)の一部を使って検証していたテストサーバが襲われた

・全体システムに侵害を受けたが、すぐにSOCが気づいてデータ漏えいを途中で食い止めた

様なケースです。

 

トヨタからの公式な続報で何か出てくれば良いのですが、もし基幹システム(ai21)もしくはテスト検証サーバが襲われたのだとすれば、影響度を考えて、他社のデータ漏洩事件と同様に「システムの脆弱性を突かれて不正アクセスを受けた」といった玉虫色の表現が出てくる可能性も高いかも知れません。

 

因みに、海外メディアではどんな見方がされているか・・ですが、ZDNet記事では、APT32(ハッカー組織)の攻撃の一環ではないか?と推測しています。

www.zdnet.com

APT32?
This is the second cyber-security the company has announced this year, after disclosing a similar incident in late February, but affecting its Australian branch.

The attack on its Australian office was more disruptive in nature, bringing down Toyota Australia's ability to handle sales and deliver new cars, and has been attributed by some industry experts to APT32 (OceanLotus), a Vietnamese cyber-espionage unit with a known focus on the automotive industry.

Experts suggested that APT32 hackers might have targeted Toyota's Australia branch as a way to get into Toyota's more secure central network in Japan.

At the time, Toyota declined to confirm any of these theories and attribute the attack to APT32 hackers.

(ZDnet 記事より引用)

 

あまり日本では報じられていませんが、トヨタオーストラリアが2月にサイバー攻撃を受けて電子メールやクラウドベースのシステムへのアクセスに影響が出た様です。1ヶ月しか離れてない事件でもある事から、ZDNetは、支店経由でより厳重に管理されている日本のネットワークを攻撃したのではないか?という推測をした様です。

www.toyota.com.au

 

 

トヨタは(ZDNetに対し)APT32との関連性については否定した様ですが、攻撃の類似点もありそうなので、国際的ハッカー(APT32以外も含め)が、オーストラリアや他国支店からのアクセス情報を悪用して日本のより厳重なサーバ群を攻撃したといった可能性については十分考えられるかも知れません。

 

最後に、今回のデータ漏洩を被害を受けたトヨタの系列子会社8社が個々に発表するのではなく、トヨタが発表した、この事にも自社のサプライチェーン全体を守るといった、トヨタの強い意思があるのかもしれないなと感じました。

 

 

f:id:foxcafelate:20190330180503p:plain

更新履歴

  • 2019年3月31日AM(予約投稿)

SNSでの公開説教

つぶやいてみた。

SNSの炎上に新たなパターンが増えました。笠松競馬場の研修担当が公式アカウント経由で内定者に公開説教する事も今後はSNS利用の注意事項に事例として載りそうです。

www.asahi.com

 

名馬オグリキャップが巣立った笠松競馬場岐阜県)の採用内定者と研修担当者のSNS上のやりとりが、賛否両論を呼んでいる。内定者がツイッターで「本採用になったらはっちゃけたい」と投稿。競馬場側が「当方には警戒しかありません。4月1日に『はっちゃけ』とは何かを聞かせてください」と厳しく問いただした。

 内定者は「来月から笠松競馬場職員になるので、皆様よろしくお願い致します」「半年は仮採用なので下手なことは出来ないんですが、本採用になったら、はっちゃけたいと思ってます」などと投稿。競馬場側は外部からの情報提供で、内容を把握。4月1日に入職する内定者と判断し、「研修担当です。私の研修で何を聞いていましたか? 個人アカウント上で公営競技に携わる公務員であることを世界に発信するリスクを、どう考えているのですか?」「すでに『下手なこと』をやってしまっていることに気が付いてください」といった趣旨のメッセージを送った。

朝日新聞記事より引用)

 

◆キタきつねの所感

ネット上ではパワハラだ、いや当然の対応だ・・といった賛否両論が飛び交っていましたが、私はこの「説教がSNS上でなければ、厳しい指摘を受けても仕方が無い」ものだと思います。つまり、仮配属の職場で内々に呼び出して非公開説教する(当該SNSを削除させる)などで十分であり、SNSでやるべき内容ではなかった気がします。

記事には細かく出ていませんが、関連記事を見てみると、当該の内定者は転職先での研修についてもTwitterでコメントを入れています。しかし内容を見ると、研修の事をつぶやいている3/19頃の内容にはそう問題があるように思えません。(※転職先を具体的に書いている訳ではありませんし、秘匿情報が書かれている・・という訳でもありません。)

・本日は転職先の研修(1日目)なり。初日から濃すぎて満腹ですわ。

・研修(2日目)終了。今日も濃すぎてテンションだだ上がりでした。

・研修で「やりたいことは色々言って下さい」っていわれたけど、やりたいことしかない

・研修先の控え室に「凱旋門賞の歴史」と「ドバイワールドカップガイド」が置いてあったので、休憩中にずっと読んでいた。

 

にんじ速報記事より引用)

 

問題となったは、転職研修が終わり3/22に仮採用になって気が緩んだ部分なのかも知れません。つい就職先を書いてしまう。これで前後のつぶやきも色々と「読み取れてしまう」訳であり、今回の件では外部から笠松競馬場に対して外部から連絡が入った様です。

 

・来月から笠松競馬場職員になるので、皆様よろしくお願い致します

運良く引っ掛かりましたので、色々とチャレンジしてみたいと思います!

・頑張ります。それ以上に、皆様の意見もお待ちしております

J-Castニュース記事より引用)

 

研修担当の方は、もしかするとSNSの使い方といった部分にまで研修で教えていたのかも知れません。その為か、かなりお怒りの感じられる(説教)コメントを内定者に対してつぶやいてますが、、、内定者のTwiiterの文言を細かく読んでみると、競馬好きな方が良い転職先に入れて、色々と企画(はっちゃけ)してみたい・・そんな程度の内容で書かれている様にも感じます。

笠松競馬場職員になる」の部分が、例えば「某競馬関連施設に勤める」等、実名が無かったとすれば、特に問題となった気はしませんし、仮に笠松競馬場の研修担当者が内定者だと気づいたとしても、スルーしていた可能性は高かったかと思います。もう少し怒りを納めてから(時間を少し置いて)内定者と連絡を取る事を考えればよかったのではないでしょうか。

 

 

因みに、(ツイートを削除しないこと)という部分がどうなったかなぁと・・・改めて内定者の方のTwiiterアカウントを見てみたのですが、

f:id:foxcafelate:20190330174753j:plain

 

非公開に変わっておりSNSさらし者を避けて、ツイートを保存していそうに思えました。(この手があったか!)

f:id:foxcafelate:20190330175152j:plain


しかし、公開説教をした笠松競馬場の方は・・・3月25日以降のコメントを「削除」している様で・・・(上層部から怒られたからでしょうが)如何なものかなと思います。

f:id:foxcafelate:20190330175440j:plain

 


公営競技に携わる公務員であることを世界に発信するリスク」が大きなブーメランとなって採用担当にも当たってしまった様です。

 

競馬ã®ã¬ã¼ã¹ã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年3月30日PM(予約投稿)

ジェダイの騎士は育つのか?

 ITMediaの記事で「すみだセキュリティ勉強会」休止を知りました。

www.itmedia.co.jp

 

 セキュリティエンジニアのozumaさんはこのほど、主催しているセキュリティ勉強会「すみだセキュリティ勉強会」の活動をしばらく休止すると発表した。JavaScriptを使ったいたずらプログラムのURLを掲示板に書き込んだ3人が不正指令電磁的記録(ウイルス)供用未遂の疑いで摘発された事件などがきっかけで警察に不信感を募らせており、「単なるセキュリティ勉強会ですら、脆弱性の解説や攻撃コードの研究発表を理由に、逮捕事案にしかねない」と懸念したためという。

 すみだセキュリティ勉強会は2013年にスタートしたWebセキュリティの勉強会で、年3回ほどのペースで都内で実施。勉強会では、一線のセキュリティエンジニアが、Webの脆弱性を具体的に説明したり、攻撃コードを挙げながら攻撃手法を解説してきた

Itmedia記事より引用)

 

■公式発表 勉強会の活動休止のお知らせ

 

◆キタきつねの所感

勉強会に参加した事は無いのですが、参加してみたいと思ってた会もあって調べていた事もある事もありますが、大変残念な”休止”判断です。活動をリードしてきたozuma5119さんをはじめとした、関係者の方々のこれまでの取り組み、そして今回の判断に敬意を表したいと思います。

もしかすると、こうした草の根のセキュリティ向上活動に影響を与えるのは、その遠因を作ったといえる当局側にとっては、本位ではなかったかも知れません。ですが、判断のガイドラインも出されてない状況を鑑みると、活動を萎縮させたのは間違いないかと思います。

 

個人的には、こうしたホワイト(グレー)な活動が、将来のホワイトハッカー(専門家)を育てていると思います。私個人は攻撃コードを直接的に取り扱う知見をあまり持ち合わせておりませんが、セキュリティインシデントを調べていると、原因となるコードについて(生生しく)海外セキュリティ研究家が発表しているソースをよく目にします。海外ではこうした活動は許容されているのに、日本では良くない事、そう拡大解釈されるのであれば、私も情報の取り扱い方を間違えて、(海外で発表されていた)攻撃手法をブログで書いて(転載して)しまうと、逮捕される可能性がある、そう言われるのだとすれば、いつかこうした個人ブログすら辞める必要が出てくるのかも知れません。

 

私が知る限り、ブラック側は、人口が下手するとホワイト側より多いのに加えて、金銭的な動機から真剣さも違いますので、ホワイト(グレー)以上にコミュニティ活動は活発と言えるかも知れません。

本来は当局側と二人三脚で取り組んでいるであろうホワイト側、そこがあまり関係性が良くなくなれば、スターウォーズにおけるダースベーダーの様に、誘惑や金銭的インセンティブに負け、ダークサイドに取り込まれる人材も多くなってしまうのかな・・・今回の発表を受けて、そんな残念な未来を考えてしまいました。

 

 

ãã¤ãã»é¨å£«ã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年3月24日PM(予約投稿)

アシックスの内部犯行事件を考える

名だたる日本企業からも(産業スパイ的な)内部犯行事件が起きた事は、日本の性善説的なセキュリティ思想の限界を改めて感じました。

www.nikkei.com


 

◆キタきつねの所感

既にこの事件は、(勝手に敬愛している)日本を代表するセキュリティリサーチャーであるpiyokango氏がブログで詳細に事件報道をまとめていらっしゃいます。詳しくはそちらを見ていただいた方が早い気がしますが、日本を代表する靴メーカーであるアシックスからライバル企業への内部犯行事件(の可能性がある)という事で、事件内容を少し考えてみたいと思います。

piyolog.hatenadiary.jp

 

まず最初に疑問に思ったのは、アシックスから今回の逮捕に関する公式な発表がされていない様に思える事です。探したのですが見つかりませんでした。テレビ局や日経新聞他のメディアが多数取り上げた内部犯行事件にも関わらず、トップページプレスリリースのページに何も掲載しないのは、上場企業の姿勢としては如何なものかなと思います。

f:id:foxcafelate:20190324175823j:plain

ついでに言えば、元従業員の転職先と報じられた「プーマジャパン」のホームページにも何も情報掲載が無いようです。

つまり、兵庫県警が逮捕情報を発表した3月13日で事件関連情報がほとんど止まっている状況です。色々調べてみたのですが、次報が無いのは、この手の事件としては珍しい気がします。

 

事件に関しては、日経新聞の記事が詳しく書いているので、そちらを引用すると、

同課によると「退職に際して自分の役に立つと思った」と容疑を認めている。アシックスが開発した靴の画像や性能データなど約3万6千のファイルが持ち出されたという。同課は13日、東京都内の現在の勤務先にある石黒容疑者の机を家宅捜索し、パソコンなどを押収。情報が流出していないか詳しく調べる。

逮捕容疑は2018年3月31日~5月9日に3回、アシックスの社内サーバーにアクセスして靴の性能データなどのファイルを社員用メールに添付し、別の個人用アドレスに送信して不正に持ち出した疑い。私物のパソコンからアクセスしていたとみられる。

同課によると、石黒容疑者は14年2月からアシックスの品質管理部に勤務し、性能データの作成や分析に携わっていた。18年3月末に他社への転職が内定した後、同5月末に退社する直前に不審なメールの送受信があることに上司が気付いた

18年7月、同社が「元従業員に営業秘密のデータを持ち出された」と県警に相談した

日経新聞記事より引用)

 

ここを読むとアシックス側のセキュリティ体制に疑問が出る方が多いかも知れません。

 

問題点1 添付ファイルチェックがざる

3.6万件の企業秘密情報の添付ファイルがプライベートメールアドレスに不正送信されて、特に問題が起きていない点については、普段から持ち帰りで仕事をする文化があったのかも知れませんが、アシックスは性善説過ぎる気がします。せめて大量データが添付された、あるいは私的アドレスへのメール送付部分については、何らかの形でチェックできたのではないでしょうか?

 

 

また、元従業員に付与されたアクセス権限については、時事の報道に書かれていたので、こちらを引用しますと、

同課によると、情報内容はシューズの品質や性能データなど約3万6000ファイル。秘密情報は限られた社員しかアクセスできないが、同容疑者は当時、同社品質管理部で勤務しており、付与されたIDとパスワードを利用していた

JIJI.com記事より引用)

 

3.6万件を3回に分けてアクセス(ダウンロード)している部分について、もしかすると検知できたかも知れませんが、品質管理という事なので、ここは業務上必要な権限の範疇として見過ごされていたとしても仕方が無い気がします。

 

毎日新聞の記事を見ると、元従業員の不正をアシックス側が検知した部分に関して、日経新聞他と違った内容が書かれています

県警によると、石黒容疑者は2014年にアシックスに入社し、昨年5月まで品質管理部でシューズの性能データを作成・分析する担当者だった。翌月に同業他社に転職し、同様の部署で働いていたという。

 昨年7月にサーバーのアクセス履歴を調べたアシックス関係者がデータの持ち出しを発見し、県警に相談していた。

毎日新聞記事より引用)

 

改めて日経新聞の記事を見ると、浮き上がってくるのが・・・

18年3月末に他社への転職が内定した後、同5月末に退社する直前に不審なメールの送受信があることに上司が気付いた

日経新聞記事より引用)

 

問題点2 元社員の上司は何の役にも立っていない

5月末に不審なメール送受信がある事に上司は気づいていながら、元従業員は他社に転職を(円満に)してしまっています。もしかすると、7月のサーバアクセスを調べるインプット情報になったのかも知れませんが、2ヶ月間を要したというのは・・・IT部門の調査期間として長すぎる気がします。(※想像を多分に含む私感です)そう考えると、言葉が乱暴かも知れませんが、上司が気づいた事は(社内連携されず)、内部犯行の詳細調査にほとんど役立ってなかったと言えるのではないでしょうか?

 

アシックスは、CSIRTを持つ企業でもありますので、どこかの場(出来ればオープンなセミナー等が良いのですが・・)で今回の事件対応、再発防止対策について、他企業の参考になると思いますので、説明がされると良いなと思います。

f:id:foxcafelate:20190324184729j:plain

 

 

 ã¹ãã¼ã«ã¼ã®ã¤ã©ã¹ãï¼é´ï¼

 

更新履歴

  • 2019年3月24日PM(予約投稿)

日本版NECが果たすべき役割

つぶやいてみた。

少し気になった記事。日本版NEC(National economic Council)設立が議論され始めているようです。

www.yomiuri.co.jp

 

 

 自民党のルール形成戦略議員連盟(会長・甘利明選挙対策委員長)は20日、米国家経済会議(NEC)をモデルに戦略的な経済外交・安全保障の司令塔となる機関の創設を政府に求める提言案をまとめた。

 米中両国による貿易摩擦が激化する中、サイバー攻撃による企業の情報流出のリスクなどへの対応を促す内容で、近く安倍首相に提出する。

 提言では、中国について「安全保障上の国益を追求する経済外交策は激しさを増し、最先端技術を有する企業や製品を巧妙な手口で獲得しようとしている」と指摘。「経済戦争から日本企業を保全することが急務」だと強調した。

(読売新聞記事より引用)

 

◆キタきつねの所感

日本版NEC(National Economic Council)は、経済戦争に対する司令塔の役割を果たす組織として考えられている様です。個々の企業では対応できない様な国家的戦略規模での企業買収、サイバー攻撃、産業スパイ等がこの機関設立の背景にあるのだと思います。

クリントン大統領自体にアメリカで設立されたのがNECとしての最初みたいですね。

アメリカ合衆国国家経済会議 - Wikipedia

 

とは言え、ホームページの要領を見ると、サイバー系の事は特に目的として書かれてませんが、最近は経済活動への影響も大きくなっている事から、日本でも、国家的影響(経済)を軸とした司令塔が必要になりつつあるのは間違いありません。

f:id:foxcafelate:20190323085353j:plain

 

国民経済評議会(NEC
米国経済および世界経済政策について大統領に助言を与える際の国民経済評議会の役割について学んでください。

 

1993年に国民経済評議会(NEC)が設立され、米国および世界の経済政策について大統領に助言しました。それは政策開発局の中にあり、大統領の執行室の一部です。大統領令により、NECは4つの主要な機能を持っています:国内および国際的な経済問題のための政策決定を調整すること、大統領のための経済政策アドバイスを調整すること、政策決定とプログラムが大統領の経済目標と一致することを保証すること大統領の経済政策アジェンダの実施

NECは、政権内の多数の部局および機関の長で構成されており、その政策管轄権は国の経済に影響を与えます。NEC理事はこれらの職員と協力して大統領の経済政策目標を調整し実行する。取締役は、農業、商業、エネルギー、金融市場、財政政策、医療、労働、社会保障など、さまざまな分野の政策専門家のスタッフによってサポートされています。

(米国NECホームページより引用)※機械翻訳

 

諸々の事件を分析している私感としても、特に国家が関与すると思われる標的型(APT)攻撃、米中の5G戦争、東欧圏を中心としたインフラへの攻撃、製造業(設計図や特許情報・・・)、農業(和牛精子や苺の苗・・)への産業スパイなどは、個々の企業・組織だけの防衛は困難になりつつあり俯瞰的にこうした情報を分析し、対策を考える専門組織が必要なのではないかと思います。

 

サイバー空間が、陸・海・空・宇宙に続く第5の戦場(The Fifth Domain)と認識されたのは、2011年7月の米国防総省の宣言からだったと思いますが、海外での動きに比べて日本での動きは鈍かった(7-8年経ってようやくこの議論ですので・・・)気がします。

thehill.com

 

今回の日本版NECの動きは、経済分野からの視点である組織を創設する検討でしかありませんが、サイバー専門の部署を含め、情報収集・分析の機能を高め、それを国家戦略に反映させる事が無いと、日本の企業・組織は「やられ放題」になってしまう事が容易に想像できます。そうした意味において、国会の場でも積極的な議論が進む事を願ってやみません。

 

 

「第5の戦場」 サイバー戦の脅威(祥伝社新書266)

「第5の戦場」 サイバー戦の脅威(祥伝社新書266)

 

 

 

 

 

f:id:foxcafelate:20190323075705p:plain

 

更新履歴

  • 2019年3月23日AM(予約投稿)