Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

セシールオンラインショップがベンチマークになっている

つぶやいてみた。 不正アクセス事件

セシールオンラインショップへのパスワードリスト攻撃がまた出ていた様です。

www.security-next.com

 

ディノス・セシールは、同社の通信販売サイト「セシールオンラインショップ」がパスワードリスト攻撃を受け、一部アカウントで不正ログインが発生したことを明らかにした。

同社によれば、3月17日に中国および国内それぞれ1件のIPアドレスより、本来の利用者とは異なる第三者が不正にログインを試みる「パスワードリスト攻撃」が同サイトに対して行われたという。

 

当初中国から約1000件のログイン試行があり遮断したが、直後より国内のIPアドレスより同様の攻撃が発生。あわせて2929回のログインの試行が行われた。

(Security Next記事より引用)

 

■公式発表 弊社「セシールオンラインショップ」への“なりすまし”による不正アクセスについて

 

 

◆キタきつねの所感

ディノス・セシールニュースリリースを見ていると、サイバー攻撃に対する同社の強固なポリシーを感じます。多くの企業にとって、その姿勢、セキュリティ体制は見習うべき所が多いのではないでしょうか。

言い方が悪いのですが、同様な攻撃を受けてリリースを出してない企業の方が、自分の感覚では多い気がします。

 

昨今はパスワードリスト攻撃は発表されてないだけで、多くの会員サイトを抱える企業で検知されているものと思いますが、ディノス・セシールのリリースを並べてみると、攻撃が成功してもそれほど大きな成果(個人情報又は不正ポイント交換等)を得られない事は分かっているであろう、海外からの攻撃を頻繁に受けている事がわかります

 

2016年までの事件をざっと拾ってみました(一部もれているかも知れませんが・・)が、10件確認できました。 

日時 出来事
2019年3月28日 同一IPアドレス(中国・国内)から2929回不正アクセス試行があり、6件が成功。顧客情報が閲覧された可能性
2019年2月6日 同一IPアドレス(国内)から18回の不正アクセス試行があり、1件成功。顧客情報が閲覧された可能性
2018年6月2日 中国のIPアドレスから1938回不正アクセス試行があり、490名の顧客情報が閲覧された可能性
2018年2月22日 同一IP(アメリカ)から14回の不正アクセス試行があり、2件が成功。顧客情報が閲覧された可能性
2017年12月7日 同一セッションから3件の不正アクセス試行があり、2件が成功し、顧客情報が一部改ざんされ閲覧された可能性
2017年9月14日 同一IPアドレス(国内)から30回の不正アクセス試行があり、6件が成功。顧客情報2名分が改ざんされ閲覧された可能性
2017年8月22日 同一IP(国内)から11回のの不正アクセス試行があり、1件が成功。顧客情報が閲覧された可能性
2017年7月31日 同一IP(国内)から11回のの不正アクセス試行があり、1件が成功。顧客情報が閲覧された可能性
2016年9月3日 同一IP(中国)から30回の不正アクセス試行があり、7件が成功。顧客情報が閲覧された可能性。
2016年8月31日 同一IP(国内)から50回のの不正アクセス試行があり、8件が成功。顧客情報が閲覧された可能性

 

この攻撃者が同一であるとは断言できないまでも、攻撃するIPアドレスがそう多くない事は分かります。また一定時間で攻撃が行われ、顧客情報の不正閲覧程度の被害が多く、顧客情報が不正にダウンロードされたり、顧客情報の一部改ざんまで影響を受けた事件は、2件しかない事が分かります。

これはディノス・セシールの防御が優れている事を意味しているのですが、併せて2つの事が読み取れます。 

 

 ①パスワードリスト攻撃は完全には防げない

 ②小規模の攻撃(50件以下の不正試行)が多い ※8割

 

①については、今更言うまでもありませんが、一般ユーザはパスワードの使いまわしをしており、いくら啓蒙しても使いまわしている顧客がいるという現状から、不正アクセス試行が一部成功してしまう可能性があるという事を示唆しているのだと思います。

ユーザ啓蒙が意味が無いとは言いませんが、パスワードは使いまわしされてしまう事は完全には防げない(別な手段を考える必要がある)と言えます。

②については、事件を並べてみると、その特徴が顕著に現れている気がします。これだけ防御がしっかりしている企業に継続的に攻撃をするハッカーが居る。それが何を意味するか?と想像するに、『ハッキングツールのテスト』ではないでしょうか?

 

Security Nextの記事を読むと、それを伺わせる部分がありました。 

いずれもアクセス元はいずれも一般的なブラウザを使用しておらずログイン試行の実行間隔なども同一であったことから、プログラムなどを用いた同一の攻撃者による犯行と見られている。

(Security Next記事より引用)

 

過去の事件もほぼ同じ傾向があるのではないでしょうか?この推測が正しければ、海外(おそらく中国)のハッカーは、日本企業へのハッキング(パスワードリスト攻撃)ツールの機能テスト先として、少規模の攻撃をディノス・セシールに行って、その結果が良ければ、別な日本企業(ECサイト)を攻撃している、、、そんな風にも読み取れます。

 

そう考えると、ディノス・セシールの事件リリースを”大した被害無かった”と見逃すのではなく、自社の防御に対する警告と捕らえて、パスワードリスト攻撃(※海外IP>ブロック>国内IP切替)への警戒を強める事が必要なのかも知れません。

 

 

参考:

foxsecurity.hatenablog.com

 

 ãã¬ãã·ã§ããã³ã°ã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年4月7日PM(予約投稿)

サプライチェーン攻撃は海外拠点も考慮する必要がある

つぶやいてみた。 海外事件

サプライチェーン攻撃の一種と言えるのかも知れません。ロイターがHOYAの海外工場が攻撃された件を報じていました。

jp.reuters.com

 

 光学機器大手HOYAのタイにある工場のシステムが2月末、サイバー攻撃を受け、多数のパソコンがウイルスに感染する被害に遭ったことが6日、分かった。レンズ生産ラインの一部が3日間にわたりダウンしたため、日本国内の眼鏡店への在庫供給に遅れが出るなどの影響が出た。

 HOYAによると、攻撃者は仮想通貨を不正取得するウイルスを、タイ工場のパソコンに送り込もうとしたとみられる。その前段階としてID、パスワードを盗むウイルスに100台程度が感染した。仮想通貨関連ウイルスの感染は食い止めたとしている。

(ロイター記事より引用)

 

◆キタきつねの所感

あまり事件詳細が出ていません。HOYAのニュースリリースも、記事を書いている時点(4/6)では出ていません。被害を受けた工場は、タイとなっていますので、海外拠点の中では、バンコクの営業拠点(らしき)を除くと、2つの工場のうちどちらかだろうと思われますが、

f:id:foxcafelate:20190406123123p:plain

 

2011年のタイでの洪水被害の際の記事を見ると・・・

 

HOYA、タイのレンズ生産で新たに1工場操業停止 :日本経済新聞

HOYAは21日、タイで広がる洪水被害の影響により、眼鏡レンズ工場の操業を新たに1拠点停止したと発表した。パトゥムタニ工場で、浸水被害はないが社員の安全確保のため、自主判断で21日夕からの操業停止を決めた。

(中略)

HOYAは眼鏡レンズのほか、タイではチェンマイにハードディスク駆動装置(HDD)工場や光学レンズ工場を持っている。2工場とも洪水被害はなく、現時点ではタイの眼鏡レンズ生産に影響が出ている。

(日経記事より引用)

 

パトゥムタニ工場が眼鏡系レンズを生産している様でしたので、(今も同じであれば)被害を受けたのはこちらの工場であろうと推測されます。

 

以下推測を多分に含みます

眼鏡レンズ工場には金融資産・個人情報資産があるとはあまり考えられません。また、一般的に工場の生産ネットワークは閉域(クローズド)ネットワークを組むことが多いので、生産ラインの一部が3日ダウンする影響がどうやって引き起こされたのか?と考えるとネットワークに穴があった可能性が高いのではないかなと思います。

 

100台程度の被害を受けたPCの内、恐らく最初の感染はメール受信端末ではないかなと思います。勿論、0デイのAPT攻撃や、悪意がある従業員が汚染されたUSBメモリを生産エリアに持込んで・・・という手口も考えられなくもありませんが、現時点ではそうした事を伺わせる材料がありませんので、外から攻められたと考える方がしっくりきます。

その上で、従業員の誰かがマルウェア感染した(変な添付ファイルを開いてしまった)として、事務PCのネットワークが感染拡大によって大混乱になる可能性はありますが、きちんと閉域網になっていれば、生産ネットワークが影響を受ける事はあまり考えられません。

では、どんな可能性が考えられるか?という所ですが、

 

 ①ネットワークが実は繋がっている部分があった

 ②感染PCからUSBメモリあるいは、感染PCを作業PCとして生産ネットワークに接続した

 

という所でしょうか。①はランサム攻撃では良く出てくる、実は閉域網の一部が外部と繋がってましたというオチです。②は運用ミス、あるいはアンチウィルスソフトのアップデートミスが起因という事も影響する事があるかも知れません。

一気に100台規模の感染まで引き起こしている事から考えると、①が怪しい気もしますが、公式発表あるいはマスコミの続報が出るまでは、想像できるのはこの程度かなと思います。

 

海外に進出している日本企業は、海外工場のサプライチェーンまで含めて、セキュリティ体制を再チェックする必要がある、そんな事を今回の事件は示唆していると言えそうです。

 

 

ロイターの記事には、もう1つ気になった所があります。

 HOYAによると、攻撃者は仮想通貨を不正取得するウイルスを、タイ工場のパソコンに送り込もうとしたとみられる。その前段階としてID、パスワードを盗むウイルスに100台程度が感染した。仮想通貨関連ウイルスの感染は食い止めたとしている。

(ロイター記事より引用)

 

仮想通貨マイニングの攻撃が次に来ると、どうしてHOYA(防衛)側は気づいたのでしょうか?この辺りも推測の域を越えませんが、最初のIDを窃取するマルウェアを防げなかった事から考えると、エンドポイントで検知したというより、C&Cとの不審な通信(通信量の増大、普段使わないポートからの大量のデータ送信等々)を検知できたのかも知れません。(SOCが検知したという可能性も高そうですが・・・)

 

仮想通貨マイニングのマルウェアは、ビットコイン下落などの影響を受けて、下火という印象でしたが、bitFlerの相場を見ると、4月に急騰している様ですね。

 

仮想通貨マイニングのマルウェアは減少も、仮想通貨を要求するランサムウェアが増加=サイバーセキュリティレポート【アラート】

 

f:id:foxcafelate:20190406174911p:plain

この事件(2月)との直接の関係性はありませんが、仮想通貨相場がこの水準で推移すれば、また2018年前半に猛威を振るった仮想通貨マイニング攻撃の波が来ても不思議ではないかも知れません。

 

■4/9追記(続報出てました)

www.chunichi.co.jp

 光学機器大手HOYAのタイにある工場のシステムが二月末、サイバー攻撃を受け、多数のパソコンがウイルスに感染する被害に遭ったことが分かった。レンズ生産ラインの一部が三日間にわたりダウンしたため、日本国内の眼鏡店への在庫供給に遅れが出るなどの影響が出た。

(中略)

 工場では三月一日にネットワークを管理するサーバーの動きが重くなり、受注や生産を管理するソフトが使えなくなったタイの二工場の稼働率が合わせて40%程度落ちたという。

 調査したところ最初に感染したウイルスが別のパソコンに感染しようとする不正な動きを続け、サーバーに過度の負荷がかかっという。

 ネットワークには日本国内のパソコンもつながっており、請求書が発行できなくなるといった影響も出た。情報流出などはなかった。

中日新聞記事より引用)

 

ネットワーク管理のサーバダウンが原因。。。。危ない通信を発する端末をすぐにIT部門が特定して隔離(ネットワークケーブル抜く等々)する対処が出来なかったという事でしょうか。

3月1日は金曜日ですので、もしかするとIT部門の体制が整ってない深夜帯に攻撃が開始された、という事なのかも知れません。ですが、ネットワーク管理している重要なサーバであれば、副系(バックアップ)もあるでしょうし、サーバダウン(に近づいた)警告を、IT部門は検知して対応できたはずなのに・・・とHOYA側の対処に何らかの問題があったのではないかと想像します。

 

もう1つ気になるのが、2工場が影響を受けたと書かれている点です。どうやって2工場同時にマルウェアが入り込んだのか?

推測になりますが、2工場の内部ネットワークは分離(セグメンテーション)されてなく、普通に繋がっていたのではないでしょうか?いわゆるフラッとネットワークにするのは、内部に入られる事が無いという閉域網での設計思想としては普通かも知れませんが、WannaCry以降のワーム型のマルウェアの流行を懸念材料としていれば、その危険性も把握できたのではないかなと思います。

 

ã¿ã¤ã»ããã¤ã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年4月6日PM(予約投稿)
  • 2019年4月9日(追加記事を受けて追記)

本味主義のカード情報漏えい事件を考える

PCI DSS クレジットカード情報漏えい事件 考えてみた。

中華食材通販専門店の「本味主義」からカード情報が漏洩した可能性があるとSecurity Nextが報じていました。

www.security-next.com

 

同サイトを運営する友利によれば、システムの脆弱性を突く不正アクセスを受け、同サイトの顧客情報が外部に流出した可能性があることが判明したもの。

流出の可能性があるのは、2017年5月22日から2018年10月14日にかけてクレジットカード決済を利用した2926件の顧客情報。クレジットカードの番号、住所、電話番号などの送り先情報を含む

さらにそのうち2018年9月5日から同年10月14日に決済した523件については、クレジットカードの名義や有効期限、セキュリティコードなども流出した可能性がある。

(Security Next記事より引用)

 

公式発表 弊社が運営する「本味主義」への不正アクセスによる個人情報流出に関するお詫びとお知らせ

 

 

◆キタきつねの所感

※非保持(周辺)が破られた事件です。実行計画2019でも注意喚起が出ましたが、同様な事件が増えていますので、非保持を実現したECサイトは要注意な事件です。

 

記事および公式発表を見ると、相変わらず「システムの脆弱性を突く不正アクセス」と言う分かる様な分からない様な曖昧な表現しかされていませんので、他社の参考になる点は無いのですが、記事の文面から、2段階で攻撃を受けた事が分かります。

 

①2017/5/22-2018/10/14にカード決済をした2926件

カード番号、住所や電話番号が漏洩している事から考えると、最初は顧客DBが襲われたのかな?と思ったのですが、それだともっと顧客の個人情報が漏洩したという発表になるはずなので、現実的ではありません。カード番号は、ECサイトで保持・通過させてしまうと非保持相当ではなくなってしまう(PCI DSS準拠が必須となる)ので、本来は無いと思うのですが、内部システムで(一時的に)カード番号を保持していた(※実装ミス?)可能性も考えられます。

 

2018/9/5-218/10/14にカード決済した523件

こちらが不思議な事に、カード番号以外の決済カード情報(有効期限、セキュリティコード、カード会員名)が漏れた可能性があるとされています。

 

どうして2段階で攻撃を受けた(漏洩)したのか?が非常に気になりました。現在「本味主義」カード決済画面は閉鎖しているので確認できませんが、もしかすると、カード番号を入力するページと、有効期限等の入力するページが分離していたのかも知れません。

 

つまり

 ① 配送情報+カード情報 「カード番号」「住所」「電話番号」を入力

 ② カード情報(残り)  「有効期限」「セキュリティコード」「カード会員名」を入力

 

という決済ページの構造になっていたとすれば、最初に①のページに不正に外部にページ情報を送信するスクリプト(※恐らくJavascript)が仕掛けられ、2018/9/5以降には、②のページにも同じ様に外部にページ送信するスクリプトが仕掛けられたという考え方です。

とは言え、最初から①と②のページに不正送信を仕掛けておく事も出来た気がするので、この仮説もまだしっくり来ませんが、何故2段階で攻撃を受けたのか・・・他のカード情報漏えい事件と違う攻撃パターンであるが故に、気になる所です。

 

続報が出てくる可能性は無さそうではありますが、何か分かったら記事を更新できればと思います。

 

 

余談となりますが、「本味主義」のWebページでの事件説明は「不親切」だと思います。トップページにリンクがあるのですが、小さく下の方に『クレジットカードご利用したお客様へのお知らせ』とリンクを貼るのは如何なものかと思います。被害を受けた方でも、このリンクに気づかない方が多いのではないでしょうか?

f:id:foxcafelate:20190407174919j:plain

 

 

中è¯æçåºã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年4月7日PM(予約投稿)

 

 

カメラ画像のAI分析は禁止?

考えてみた。

個人情報保護は世の流れとは言え、個人が特定できない情報まで管理対象が拡大していくと、色々な面で混乱が出てくるかも知れません。

www.security-next.com

 

 タクシーの配車アプリを提供しているJapanTaxiは、個人情報保護委員会より指導を受けたことを明らかにした。

同社によれば、問題とされたのはタクシーの車内に設置している広告配信用タブレットのカメラを利用した乗客の性別推定機能。一部メディアの報道を受け、状況を説明した。

表示する広告の内容を変更するため、顔画像を取得、性別を推定していたもので、これに対し個人情報保護委員会より、カメラの存在や利用目的の通知が不十分であるとの指摘があり、是正が求められたという。

 

(Security Next記事より引用)

 

■公式発表 当社に関する一部報道について

 

 

◆キタきつねの所感

海外ではGAFAなどの企業に対し、本人同意ない情報利用が厳しく問われる、GDPR判例も出ていますが、日本でも厳しい判断が規制当局から出てきたなという印象です。個人情報に紐づくデータ保存をせず、その場で推定する事でも、本人同意を取る必要があるのだというのはもっともな話ですが、この指導に対するJapanTaxiの改善策が、なかなか厳しいものがあります。

4月より乗客に対してタブレット上で説明を行う機能を追加する予定

(Security Next記事より引用)

(恐らく・・・)広告配信のタブレットにYES・NO(同意)ボタンを付ける・・・あまりスマートでは無い気がします。

 

JapanTaxiの運用では、広告配信後に顔画像を削除していた様ですし、位置情報や顧客情報との紐づけも行ってなかった様です。つまりビックデータ分析や個人の追跡(トレース)が出来る運用ではなかった、個人情報漏えいのリスクは少なかった事になりますが、これでもNG・・と少し厳しめな判断が出たなと思います。

 

例えば、JRをはじめとする鉄道各社も定期券などと紐づいた出改札での個人情報を持っている訳ですが、広告とはみなされないとは思いますが、”定期券は●日後に切れます”といった個人向けの情報は改札機に表示されます。この件について、定期券購入時に同意したかな・・・と考えると、私は記憶にありません。

 

この記事を読んで更に思い出したのが、デジタルサイネージ型の自販機です。こちらの方が随分前にカメラで性別・年齢推定機能をつけて商品推奨(レコメンデーション)を実現していたかと思いますが、こちらは同意・・・対応済なのでしょうか? 私は飲料を買う時に同意ボタン等を押した記憶がないのですが・・・

news.mynavi.jp

 

少し調べてみると、パルコも広告配信ではありませんが、来客情報をAI分析して販促に使うのだとすれば、

ひっかかってしまう可能性も出てくるのでしょうか?

messe.nikkei.co.jp

 

更に言えば、監視カメラでは年代性別が判別可能な機種は大分前から出ています。これも(監視対象の方に)告知義務がある?となると、色々と面倒な事になってくるかも知れません。

www.tbs.co.jp

 

いっその事、AIでの顔画像分析は禁止・・・とでもガイドラインを出してくれた方が混乱しなくて良いのに・・と愚考してしまう指導内容でした。

 

f:id:foxcafelate:20190401162543p:plain

更新履歴

  • 2019年4月1日AM(予約投稿)

自分ファーストの行く着く先

つぶやいてみた。

個人的に気になる記事でした。(セキュリティとは関係ありません)

www.huffingtonpost.jp

 

「書く気持ちにはなれません」
書かれているのは、この店で「白虎隊御朱印」を書き、販売してきた白虎隊墓守家の5代目、飯盛尚子さんのメッセージ。


飯盛さんによると、このメッセージが掲示されたのは「去年か一昨年くらい」。

以前は、墓守でもあり書家でもある飯盛さんが、客の持参した御朱印帳に直接記入するサービスを提供していた。しかし順番待ちの人から「一人に何分かけているんだ」とか「手際が悪い」などのクレームが寄せられるようになったという。

飯盛さんはハフポスト日本版の取材に対し「適当に書けば数分で済みますが、そんなつもりはありません。接客もしながら誠心誠意書きますので、どうしても5分以上はかかります」と答えた。

そして御朱印帳に記入するサービスをやめた理由については「人を待たせるのも気分が良くありませんし、文句を言われながら書くものでもありません」としている。

(Huffpost記事より引用)

 

◆キタきつねの所感

元号変更「令和」を5月1日に控え、やはり万葉集の頃の心のゆとりが必要なのかなと感じます。

安倍晋三首相は官邸内で記者会見し、「心を寄せあう中で文化が生まれ育つという意味が込められている」と、新元号への想いを説明した。

Reuters記事より引用)

クレームをつけた観光客がどんな想いで、暴言を吐いたのかは分かりませんが、御朱印帳の御朱印は、経済合理性を求めて貰うものではなく、多少時間がかかっても、字に想いが籠ったものを「ありがたくいただく」ものではないかなと思います。

 

そもそも御朱印とはどんなものなのか、改めて調べてみると、

halmek.co.jp

御朱印の由来は諸説ありますが、ここでは「六十六部の納経帳」説を紹介します。「六十六部」とは、室町時代から見られる巡礼者で、彼らは法華経を66部書き写し、1部ずつを66カ所の定められた霊場に納めて歩いていました。その際各霊場からもらっていた「納経しましたよ」という証明の印と、証明の印を書いてもらっていた納経帳が、それぞれ御朱印御朱印帳の始まりだそうです。

法華経を66回書き写すことは非常に労力がかかります。時代とともに納経は義務ではなくなっていきました。神社仏閣を参拝した証として、集印帳に御朱印をいただくという形へと変化し、「御朱印」「御朱印帳」と呼ばれる形式が整ってきたのは、昭和の初め頃なのだとか。

ハルメクTravel記事より引用)

(諸説ありますが)巡礼の際に収めるべき法華経の写しを書の上手な方に代筆頂いたものと考える事ができます。御朱印を書いて頂く事にスピードや更なる字の上手さを求めるのであれば、自分で書け(写経すれ)ば良いのです

 

心無い観光客の暴言で、良き文化が廃れてしまう、そんな残念な結果になるのは、「スタンプラリー」と「御朱印」が同じであると勘違いしている観光客が多いからではないでしょうか? 

 

尚、Twitterをよく見ると、白虎隊の御朱印は現在3カ所で対応しているそうで、今回「直筆での御朱印」の常時対応を辞めたのはそのうちの1人(下記2番)との事でした。

f:id:foxcafelate:20190401162026j:plain

 

 

 

f:id:foxcafelate:20190401155257p:plain

更新履歴

  • 2019年4月1日PM(予約投稿)

 

ホワイトハッカーなのだろうか?

つぶやいてみた。 海外事件

私にはホワイトハッカーの業務範疇とは思えないのですが、将来有望なハッカーである事は間違いなく、他国への流出を恐れた刑罰なのかも知れません。

www.theverge.com

 

 

24歳のセキュリティ研究者は、Microsoft任天堂のサーバにハッキングし、機密情報を盗むことを認めたことを理由に、今日の刑務所を厳しく避けた。SlipstreamまたはRayleeとしてオンラインで知られているZammis Clarkは木曜日にロンドンの王立裁判所でコンピューターの不正使用の罪で複数の容疑で起訴され、マイクロソフト任天堂のネットワークにハッキングしたとして有罪を認めた

検察は、Clarkが2017年1月24日に内部のユーザー名とパスワードを使用してMicrosoftのサーバーにアクセスし、その後少なくとも3週間、Microsoftのネットワークに自由にアクセスするためにWebシェルをアップロードしたことを明らかにしました。クラークはそれから彼がマイクロソフトのネットワークを通して捜し、ファイルをアップロードし、そしてデータをダウンロードすることを可能にする複数のシェルをアップロードした。

ClarkがMicrosoftの社内Windowsフライトサーバを標的にした後、合計で約43,000ファイルが盗まれた。これらのサーバーにはプレリリース版のWindowsの機密コピーが含まれており、Windowsで作業している開発者に初期のベータコードを配布するために使用されます。Clarkは、リリース前のバージョンのWindowsに関する情報を入手するために、固有のビルド番号をターゲットにしています。これは、未リリースの製品、コード名、およびビルド番号の検索でおよそ7,500回でした。

(中略)

クラークは仮想プライベートネットワーク(VPN)を介してアクセスし、同様のソフトウェアを使用して任天堂の機密性の高いゲーム開発サーバーに侵入しました。これらのサーバーは未発表のゲーム用の開発コードを保存しており、2018年5月にNintendoが侵害を発見するまで、Clarkは2,365のユーザー名とパスワードを盗むことができた

(The Verge記事より引用)※機械翻訳

 

◆キタきつねの所感

2017年にFBIに逮捕された(ホワイト)ハッカーは、アンチウィルスソフト開発のMalwarebytes社に勤務していた24歳の研究者でした。彼は開発目的でマイクロソフトの社内サーバにアクセスする権利を持っていたのですが、そのアカウント経由で、マイクロソフト内のサーバにバックドアを仕掛け、チャットで仲間に公開し、海外ハッカーから不正アクセスされ、開発中のコードや製品情報、個人情報1000人+を含む、4.3万件のデータが不正にダウンロードされ、被害額は200万ドルにも及びます。

更に彼は、2015年、玩具メーカーVTECH社が1170万件の個人情報流出した件にも関わっていた事を認めていますが、2つのハッキング事件の結果として彼に課されたのは、懲役1年6か月、執行猶予1年3か月(執行猶予中に犯罪を起こした場合は懲役5年と無制限の罰金を課す付帯条件有)でしかありません。

 

VTECH事件は私も覚えていますが、香港のメーカーVTECH社の知的玩具(IoT機器)が攻撃され、IoT機器の脆弱性に対して警鐘が鳴らされた事件の1つです。(※HTTPプロトコル脆弱性を突かれた)

知育玩具のVTechに不正アクセス、約20万人の子供の個人情報が流出 - ITmedia NEWS

 

そんなホワイト企業に勤めていた『研究者』が、被害が出る事を承知の上で、仲間内とは言えハッカー仲間にバックドアを公開する事であったり、そもそも開発権限を使っての不正行為が、ある意味内部犯行な訳ですが、その信頼関係を壊してまで、自身の「探求心」を満たすというのは、私はホワイト側の人間ではなく、ダークサイドに落ちた人間なのだと思います。

 

映画ではよくアリガチなストーリではありますが、「セキュリティ研究者」が逮捕された、、といった記事の見出しを見ると何かモヤモヤするものがあります。

 

ホワイト側の企業も、もう少し特権アクセスに関する監視であったり、あるいは雇用前のスクリーニングをしないと、自社ビジネスが壊されてしまうという事を示唆していると言えるかも知れませんね。

 

 

f:id:foxcafelate:20190401151320p:plain

 

更新履歴

  • 2019年4月1日AM(予約投稿)

ログイン欄は狙われやすい

PCI DSS クレジットカード情報漏えい事件 不正アクセス事件 つぶやいてみた。

非保持であろうが、クレジットカード漏えい事件は定期的に発生するもの。そう考えた方が良いのだと思います。歯科書籍の通販サイトを運営するクインテッセンス出版から個人情報・カード情報が漏えいしたと発表されました。

www.security-next.com

 

■公式発表  弊社運営サイトへの不正アクセス発生についてのご報告とお詫び

 

1)クレジットカード情報を含む個人情報(歯学書ドットコムで購買されたお客様のみ)について
 2012年11月11日から2018年12月28日の間に、弊社ショッピングサイト「歯学書ドットコム」でクレジット決済をご利用されたお客様が対象です。
※歯学書ドットコム以外(日本国際歯科大会の参加登録、ワールドデンタルショーやその他の展示販売、歯科求人ドットコムでの広告掲載など)でのクレジットカード決済は対象外です。
 流出件数:最大で5,689件
 流出した可能性のある個人情報:クレジットカード番号、カード会員名、クレジットカード有効期限、セキュリティコード、住所、メールアドレス、電話番号、生年月日

(公式発表より引用)

 

◆キタきつねの所感

最近のカード漏えい事件で多かったのが、Webサイト改ざんによる、偽(クレジット情報入力)画面誘導であったのですが、この事件では少し癖が違うようです。

大量の個人情報、及びセキュリティコードが漏えいしている事から考えると、内部システム(DB)への侵入がされていると考えるのが妥当な気がします。

 

とあるサイトで、事件を受ける前(12月27日)のサイトと、現在のサイトを見比べてみた所、差分が分かりました。

 

【現在】のトップ画面

f:id:foxcafelate:20190327110604p:plain

 【12/27】のトップ画面

f:id:foxcafelate:20190327110633p:plain

ログイン入口がトップページにあったのが、(事件を受けて)外されている様です。

 

この事から想像すると、情報を漏えいの主原因としては、

 ①(SQL)インジェクション

 ②ブルートフォース(総当たり)攻撃

 ③パスワードリスト攻撃

あたりが怪しい気がしますが、②と③は管理ログにパスワード施行(成功・失敗)のログが多量に残るでしょうし、同一IPからの攻撃であれば不自然なログの判別はしやすいかと思いますし、漏えいした個人情報がかなり広範囲(1件づつ拾うのは相当面倒)である事から考えると、おそらく違うかと思います。

 

侵害を受けた脆弱点について、詳細発表がされてないので推測の域を超えませんが、もし③の「インジェクション」系の攻撃を受けて、内部DBへの侵入を許したのだとすれば、Web脆弱性テスト(※PCI DSSだとASVスキャン)をやってなかった可能性が高いかと思います。(ログイン部分にサードパーティツールを使っていた場合はパッチを当ててなかった事も考えられますが・・・)

 参考 SQLインジェクション対策について(IPA)

 

だとすれば、ほとんどのカード情報・個人情報漏えい事件の被害を受けた企業・組織と同じく「油断した」と言えるのではないでしょうか。カード情報のみならず、個人情報まで多数預かる企業は、「Webサイトは襲われる」前提でシステム構築すべきだと思います。

そうした事が出来ないのであれば、個人情報/カード情報のみならず、それらに対するセキュリティ対策も含めて、情報管理を信頼できる第三者に委託する必要があるのではないでしょうか?

 

ECサイトで漏えい事件が続いている状況は、ある意味ロシアンルーレットが廻っている状態で、いつ自社が影響を受けるか分からない、そんな状況にある事を多くのECサイト運営会社は気づくべきなのだと思います。

 

 

因みに、過去のWeb画面を調べていた所、クインテッセンス社は、当初は「システム障害」が長引いていると発表していました。通常メンテナンスと違い、長期間に渡り『システム障害』が続いている場合、ハッキング被害を受けて調査中である可能性が高いと言えます。この事件はまさに典型例ではないでしょうか。

f:id:foxcafelate:20190327110731p:plain

 

 

 

 æ­¯å»èãå«ããå­ä¾ã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年3月27日AM(予約投稿)