Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

森永乳業は説明責任を果たしてないのではないか?

クレジットカード情報漏えい事件 不正アクセス事件 考えてみた。

6月4日に森永乳業フォレンジック調査結果を受けて記者会見をしたようです。

mainichi.jp

 

 ■公式発表

健康食品通販サイトにおけるお客さま情報の流出に関するお詫びと調査結果のお知らせ


 

不正被害が発生しているのが残念なところ。(森永乳業の対応が遅れた結果とも言えそうです)

約300件、総額約2000万円分の不正利用の被害が確認されたと発表した。

 

2万9773人のカード番号や名義の情報が漏れた可能性が高く

 

カード情報以外にも、12年1月22日~17年10月16日に同通販を利用した6万3049人分の氏名や住所、生年月日などの情報が漏れた可能性がある。

 

17年10月にデータ管理システムを切り替えたが、それ以前のシステムが脆弱(ぜいじゃく)で、不正アクセスによって情報が引き出されたとみられる。

毎日新聞記事より引用) 

一通りの各社関連記事を読んでみたのですが、記者会見での発表内容を各社そのまま掲載している感があり、ほぼ書いている事は一緒でした。

これをもって森永乳業としては幕引きとしたいのだと思うのですが、ここで事件がクローズするのは非常に残念です。記者会見の場にいた記者の方々は質問ができなかったのでしょうか?

今回の漏洩事件が直接的に何の脆弱点を突かれたのかすら発表されていません。当然の事ながら、フォレンジック調査会社の最終レポートには、脆弱点は記載されていたはずです。だとすれば、森永乳業が意図的に発表しなかったと考えるのがしっくりきます。

こうしたケースの場合、私が見てきた多くの事件では例えばSQLインジェクションとか、OpenSSLとか、変なログに漏洩情報が書かれていたといった、表に発表したくない恥ずかしい脆弱性を突かれた事が多い気がします。

今回のケースでも、ゼロディ攻撃を受けた可能性もあろうかと思いますが、だとしたら・・仕方なかった攻撃と説明しやすいと思いますので、記者会見の場でゼロディと公表されたのではないでしょうか。

また、脆弱性を突かれた、、と漠然と発表されていますが、森永乳業はどの程度の頻度で旧サーバに対してパッチ当てをしていたのかも不明です。

 

※追記:日経XTECH記事に記者会見での広報コメントがありました。

「旧サーバーに対しては、「定期的なセキュリティ診断とセキュリティ対策を施していたが、調査では100%脆弱性がなかったと判断できなかった。報告書では、何らかの脆弱性が悪用されて流出した可能性が高いとされた」(同社広報)という。」

この内容もそれらしい言葉が並べられていますが、定期的なセキュリティ診断、セキュリティ対策が不十分だった可能性は高いかと思います。

 

前回のリリースでは、セキュリティコードも含めて漏洩した可能性があるとしていましたが、今回の発表では、セキュリティコードは漏れてなかったと発表されました。セキュリティコードまで漏れる場合は、往々にしてかなり大きな問題を抱えていた事に他なりませんので、その点は良かったと思いますが、ここでも疑問が出てきます。(何で記者の方々は聞かないのだろう、と歯痒く思うのですが、もしかすると質疑応答が無い記者会見だったのかもしれませんね)決済代行会社との間が攻撃された訳ではなく、森永乳業の会員DBであり、その個人情報が格納されたテーブルへの不正アクセスを検知する対策は何も打たれてなかったのか?という事です。WAFやTripwireが入っていて検知できるものだったのかどうかわかりませんが、警察の事件調査コメントが掲載されている読売新聞の記事を見ると、

www.yomiuri.co.jp

関係者によると、健康食品の購入者の名前やカード情報を管理していたサーバーが2015年1月~昨年10月、複数回、外部から不正接続された痕跡があった。

(読売新聞記事より引用) 

2年弱の間に複数回不正侵入されていると書かれています。言い方を変えると、森永乳業は2年弱、不正侵入を検知できてないのです。

そして不正侵入に気づかないまま、サーバを更新し、旧サーバの(事件)証跡(の多く)を消失させてしまっています。

 

(根拠はありませんが、複数回の侵入で数万件のデータを持っていかれたとすると、インジェクション系の脆弱性だったのかなと想像します)

 

今回のフォレンジック調査は、旧サーバ本体ではなく、バックアップデータから行なっているため、その結論についても「推定」となっているのは、森永乳業側の監視体制に問題があったからと言えるかもしれません。

 

と、ここまで書いてきて、何か違和感があると思っていたのですが、森永乳業の今回のリリースには、「原因(もっと詳細の)」と「対策案」が書かれてない事に気づきました。

 

不正侵入への検知、パッチ当て、ASVスキャン(侵入テスト)、DB登録された顧客情報の保管期間管理、、、想像されるセキュリティの不備はいくつものポイントがあるのですが、「脆弱性」でひっくるめて説明されているだけなので、また似たような事件を森永乳業が起こす可能性は残ってしまっている事を懸念します。

 

ここまで書いてきましたが、、、色々調べていると同じ事を考える人もいらっしゃるようです。

フォレンジック調査に関してはもっと脆弱性の可能性部分であったり、対策を行うべき点であったりは書かれていると(過去の事例からかんがえると)思います。だとすれば、公開しないという判断をしたのは森永乳業という事になります。

 

www.orangeitems.com

 

(以下根拠はありません)ゼロディ攻撃だったら事件の影響を緩和するために記者会見かリリースで発表すると思うので、可能性がある脆弱性を発表しない、あるいは今後の対策を発表しない事から考えられるのは、、やはりSQLインジェクションや変なログに個人情報を書いていたり、暗号化すべきテーブルを暗号化してなかった、というような、セキュリティ対策の基本ができてなかった事が原因と考えられているので、恥ずかしくて発表できなかったという可能性を考えてしまいます。

※繰り返しますが勝手な想像です。

 

いずれにせよ、大手企業である森永乳業は、事件内容であったり、今後の対策をもう少し説明する責任があったのではないでしょうか。

 

 

 


ä¹³çã»ãã«ã¹ã¿ã¤ã³ã®ã¤ã©ã¹ã

 

更新履歴

  • 2018年6月5日PM(予約投稿)