Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ヤマケイオンラインの不正アクセス事件

12月11日(続報12月19日)に山と溪谷社が「ヤマケイオンライン」の会員情報が漏えいした可能性があると発表しました。この件について少しつぶやいてみます。

 

www.yamakei.co.jp

■公式発表 「ヤマケイオンライン」会員情報流出の疑いに関するご報告

      「ヤマケイオンライン」会員情報流出に関するご報告とお詫び(12/19)

 

とはいえ、まだ調査中なのか情報があまり出ていません。

 先月11月29日に「ヤマケイオンライン」の登録ユーザーから、会員メールアドレスにフィッシングメールが届いたとの報告を受け、調査いたしましたところ、システム上の脆弱性不正アクセス及び一部会員情報流出の疑いを確認いたしました。脆弱性については12月5日(火)までに解消しましたが、不正アクセスと情報流失の詳細については、現在、調査・分析中です。確認ができ次第、追ってサイト等でご報告する予定です。(公式発表

 

公式発表を見ると、システム上の脆弱性を突かれて会員DBに不正アクセスされた可能性が高いようですが、会員からのフィッシングメールを起因として事件が発覚していますので、もしかすると単に会員のパスワードが単純であった、あるいはパスワード使いまわしが原因だったということもあるかも知れません。

オンラインショッピングサイト(EC通販)を狙った事件では、クレジットカード情報まで漏えいしたケースが非常に多いのですが、クレジットカード情報までは(現時点の情報では)流出してないようですので、うまく決済代行業者に決済業務移管(PANの非保持化)が出来ていそうです。

1点だけ気になるのは・・・ヤマケイオンラインの登録ユーザが何故、ヤマケイオンラインから情報漏えいしたのではないか?と気づけたかという点です。

例えば個人的な情報漏えい対策で、ペンネームに細工(例えばキタきつね山渓)したとか、専用のフリーメールアドレスを使っていた・・・といったやり方でしょうか。

 

12/19に続報が出ていました。

 先月11月29日に「ヤマケイオンライン」の登録ユーザーから、会員メールアドレスにフィッシングメールが届いたとの報告を受け、調査いたしましたところ、システム上の脆弱性不正アクセスの疑いが確認されました。該当システムのログ等から調査可能な全期間についてより詳細に解析しましたところ、10月31日、11月22日、11月23日不正アクセスが認められ、以下の内容の流出が確認されました。

 

上記対象の方々(合計1,160名)には、メールにてご案内をさせていただきます。

 

なお、当サイトで保管しているアクセスログは31日分となっており、発覚の日から遡り10月28日から11月29日までのアクセスログの調査・解析となりました。従いまして、アクセスログのない10月27日以前につきましては、上記の調査・解析をいたしかねますことを併せて報告申し上げます。 続報より引用)

1ヶ月のログから分析できることはこの程度かと思いますが、1ヶ月で3回不正アクセスを受けている訳ですから、それ以前も不正アクセスを受けていた可能性は高いかと思います。山と渓谷社は、事件を受けてセキュリティ会社の助言を受けていると思いますので、ログの保存期間を少なくても3ヶ月以上(出来れば1年以上)にする様にしたのかと思いますが、同様な1ヶ月程度のログ保存期間をセットしている企業は、不正侵害を受ける可能性を考えてログ保存期間は適切な期間とすべきだと考えた方が良いかと思います。

ログ保存期間が短いことにより、被害範囲の確定が非常に困難になる事もありますが、フォレンジック調査(通常は高額費用がかかる)が長引く要因にもなりますので。

 

 

山登りをする夫婦・カップルのイラスト

 

 

 

更新履歴

  • 2017年12月17日 PM(予約投稿)
  • 2017年12月23日AM 12/19続報発表を受け更新