Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

オービッツはサードパーティ経由で情報漏えい

Expedia傘下の旅行予約サイトのオービッツがハッキングを受け、最大88万件の決済データが漏えいした可能性があると発表しました。

www.travelvoice.jp

■公式発表

  INFORMATION ABOUT ORBITZ DATA SECURITY INCIDENT

事件の状況 
  • 旧ウェブサイトがハッキング被害を受け、最大88万件の決済カード情報が漏えいした疑い
  • 2016年1月1日~2017年12月22日に決済した顧客が影響
  • 氏名、住所、カード情報、誕生日、電話番号、メールアドレス、性別が漏えいした可能性(社会保障番号やパスポートは漏えいした形跡は無い)
  • (旧)システムに保管されていた顧客情報が影響を受けた
  • 2018年3月1日にオービッツは個人情報漏えいを把握
  • 事件はAmex Travelによる旅行予約のパートナーのプラットフォーム(予約エンジン)によって流出した可能性 (*The Verge記事より引用)

◆キタきつねの所感

Orbitzはどのプラットフォームパートナー企業経由で情報が漏れたかはっきり明示しなかったようなのですが、複数のニュースサイトが、当該のパートナー企業は『Amex』であると書いています。私のPCI DSSの知見では・・・Amexのセキュリティへの取り組みはしっかりしている、、(はず)と思っていたのですが、インターネットが複雑に接続される世の中では、しっかりしていない部分”も”あったのかも知れません。

旧サイトからデータが漏れた・・・というのも気になる所です。漏えいしたデータは2016年~2017年末ですが、3月1日にOrbitzがデータ漏えいに気づいたとあるので・・・旧サイトから新サイトへの移行後にも旧サイトにクレジットカード番号を含む個人情報が残っていた事については、責任を免れないと思います。

*普通は正常移行したらデータを消すべきですし、PCI DSS上は旧サイトにデータが残っている場合は・・監査スコープ内=保護対象に定義されます

 

今回の事件で最大の原因の1つはサードパーティ管理(コントロール)ではないでしょうか。旅行の予約エンジンの性質上、他社に機能開放するのは必要かとは思いますが、他社に提供していた『予約エンジン』が旧サイトにつながる設定になっていた事が、多量のデータを漏えいする原因となったと思われるだけに、新旧の機能切替、およびサードパーティサイトからの多量なデータダウンロードのリクエス(不自然な大量ダウンロードリクエストがあったのではないかと推測してます)についてOrbitz側はきちんと管理すべきだったのではないかと思います。

事件はまだフォレンジック調査も含めて調査継続中なので、次の発表があるまで分からない事ばかりではありますが、信頼できそうなAmexと言えども、容易に信頼しない・・・昨日の記事で書いた記憶がアリマスが・・・こうした仕組みづくりが必要なのだと思います。

 

 

参考:The Verge記事

www.theverge.com

個人情報漏洩のイラスト

 

更新履歴

  • 2018年4月8日PM(予約投稿)