Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

日本企業16億件の『パスワード流出』はミスリードではないか?

日本を代表する企業グループ、ソニートヨタ東芝などからメールアドレスとパスワードが漏洩している可能性があるとの日経ビジネスのスクープ記事について、少し騒ぎすぎかな・・と思います。

business.nikkeibp.co.jp

 

◆キタきつねの所感

※以下、日経ビジネスのスクープ記事を否定する訳ではありません。様々な関係者に警鐘を鳴らす良い記事だと思います。

記事の内容は、社外で使われている会員サイト経由で、企業のメールアドレス(ID)と、従業員が外部にセットしたパスワードが漏洩している可能性があるとの指摘であり、このIDとパスワード(使いまわしされた)を使われる事によって、自社システムに不正侵入されてしまうというリスクがある事は間違いありません。

 

ソニー情報セキュリティ部のジェリー・ホフ・ゼネラルマネジャーにこの事実を告げると、流出を正式に確認したわけではないと前置きした上で、「一度外に流れた情報は回収が不可能だ」と表情を曇らせた。ソニー社員のメールアドレスパスワードの拡散を止めるすべは、もはやない

日経ビジネス記事より引用)

 

記事の指摘の中で、パスワードの部分については、非常に疑問です。メールアドレスについては、記事に書かれている通りだと思います。実際に生きているメールアドレスが外部に漏洩したのは間違いないでしょう。それが漏洩したのが外部のサイトである、という記事での指摘で、日本企業側のセキュリティ対策(従業員啓蒙)が自社しか見てないという点について警鐘を鳴らしたのは間違いありません。

しかし、パスワードについては、漏洩した従業員が居る可能性は否定できませんが、私はスリードな記事の書きっぷりだと思います。

 

私は、日経ビジネスの詳細記事を読んではないのですが、大元氏の記事に日経ビジネスの記事内容が掲載されていましたので、そちらを見てみますと、

news.yahoo.co.jp

■攻撃の手口

これらの情報は、元々サイバー攻撃者らが利用するインターネットの闇市場「ダークネット」に登録されていたもの。このダークネットに掲載された手法として、日経ビジネスでは、脆弱なECサイト等がID/PW盗難攻撃にあい、そこを利用していた大手企業のID/PWが流出したとしている。大手企業の社内のセキュリティが突破されたのではなく、全く関係のない「社外のサイト」が被害に合い、ID/PWが盗難されたのだ

(大元氏記事より引用)

ID(企業のメールアドレス)とパスワードが漏洩したのが、外部サイトという内容である事が分かります。日経ビジネスの記事での説明図も引用されていましたが、そちらでも同じポイントを指摘していました。

 

では何がミスリードの可能性があるかと言えば、

例えばAmazon楽天のサイト(「社外のサイト」で会員登録をする場合、ID(メールアドレス)登録において、会社のメールアドレスを使う人は一定数いると思います。しかし、パスワードまで会社のメールシステムへのログインに使っているパスワードと同じものを使っているでしょうか? 私は、この部分については非常に疑問です

 

日経ビジネス記事における、ソニーのゼネラルマネージャーへの質問の仕方がどうだったのか分かりませんが、

ソニー情報セキュリティ部のジェリー・ホフ・ゼネラルマネジャーにこの事実を告げると、流出を正式に確認したわけではないと前置きした上で、「一度外に流れた情報は回収が不可能だ」と表情を曇らせた。ソニー社員のメールアドレスパスワードの拡散を止めるすべは、もはやない

日経ビジネス記事より引用)

この回答は、会社で使っているIDとパスワードの両方が漏洩したという事を意識しての回答となっていると思うのです。ですが記事の中では、メールアドレスと共に、会社で使っているであろうパスワードが漏洩したと誤認識させかねない書き方になっている気がします。もしそうだとすれば、スリードではないでしょうか

 

  • 会社メールアドレス(ID) 

→ 漏洩した

  • 会社のパスワード  

→ 一部は会社で使っているパスワードを使いまわしていたので漏洩したが、大多数は会社と別サイト(例:Amazon楽天)で使っているパスワードと別だったので漏洩してない

 

が真実なのではないでしょうか?会社のパスワードまで漏れたのであれば、企業にとって不正侵入をはじめとするセキュリティリスクが増大する事となり、(日経ビジネス記事の提言通り)企業の早急の対策が求められると思いますが、まだ「企業の抜け穴」と言い切るまでの閾値に達してない、と考えます。

 

余談になりますが、この日経のスクープをいち早く取り上げていらっしゃった、大元さんの記事ですが、こうした漏洩時の対策の部分についてよくまとまっていますので、参考になると思いますので、改めてリンクを貼っておきます。

news.yahoo.co.jp

とは言え、、、セキュリティ専門の方として、(日経ビジネス記事の詳細が出る前の)最初の認識が水飲み場」だったのは大変がっかりでした。16億件の水飲み場攻撃・・・有り得ないと思うのですが・・・。そこまで大企業のセキュリティが弱い、あるいは多くの被害を出して長期間検知できないとは思いません。

f:id:foxcafelate:20180909070543j:plain

 

むしろ、16億件の記事については、日経XTECHのプレミアムアウトレット等々の情報漏えい事件の記事内容と良く似ているので、ブラックマーケットに流れている情報を更に分析したら、日本企業のメールアドレスが思った以上に出てきた・・・という記事なのかな?と私は思いました。

 

foxsecurity.hatenablog.com

 

アカウント乗っ取りのイラスト

 

更新履歴

  • 2018年9月9日AM(予約投稿)