Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

縦横遊(香港大手旅行会社)の情報漏えいについてまとめてみた。

2017年11月7日、香港の大手旅行会社、縦横遊(WWPKG)の顧客データベースが不正アクセスを受けたことを発表しました。ここでは関連情報をまとめます。

 ※香港の旅行会社初のサイバー被害
 ※同社は日本向けの旅行パッケージを多く手がけている

 

インシデントタイムライン

日時

出来事

2017年11月6日朝

ハッカーから7桁の金額をビットコインで支払うようにメールで連絡

2017年11月6日 警察に被害届を提出
2017年11月7日

全支店の営業とウェブサイトでのサービスを停止

2017年11月8日

袁振寧CEOが、20万人の顧客データが漏えいした可能性を発表

店舗営業を再開

公式発表

  • サイト閉鎖中の為、WWPKG社のWebでの公式情報なし
事件の状況 
  • 最大20万人の顧客データ(2万人のクレジットカード情報含む)が流出
  • 流出した可能性のある個人情報
    • 顧客の名前
    • 香港IDカードの番号
    • パスポート番号
    • クレジットカード情報
    • 電話番号
    • メールアドレス
    • 住所
原因
  • IT部門責任者のコンピュータ経由で会社のサーバに不正侵入された可能性が疑われている
  • ハッカーは(不正侵入後)ユーザパスワード変更し、アカウントに入れなくした
  • CEOは不正侵入の詳細は公開を拒んだが、『普通でない方法だった』と答えた
   ※システムのアップデートは定期的に実施
   ※サードパーティの監査も今年の早い段階で受けている
   ※WannaCryではない
事故後の対応
  • ハッカーから要求があった)7桁のビットコインでの身代金支払いはしない
  • 30-40年前の技術(紙と電話)で旅行代理店業務を遂行
  • バックアップファイルからの復旧を急いでいる

◆キタきつねの所感

旅行代理店へのサイバー攻撃は香港でも初めてのケースの用ですが、日本でもJTBの大規模漏えい事件位しか記憶にありません。JTB事件と違うのは、不正侵入後にランサムウェアによる攻撃で身代金要求を受けているところですが、縦横遊は身代金を”払わない”事を決めたようです。これはバックアップファイルを取っていたからシステム復旧が可能であるとの判断が大きいかと思いますが、身代金を払ってもシステム復旧できるかわからないとCEOらが判断した様です。侵入経路が『普通ではない方法』という所が非常に気になりますが、特権ユーザの権限が狙われたのは間違いないかと思います。特権ユーザの重要なシステムへのアクセスへは多要素認証を入れることが、現時点での(こうした事件への)対策案としては有効だと思います。

 

関連ニュース記事

 旅行代理店のイラスト

 

更新履歴

  • 2017年11月10日 AM 新規作成