またSQLインジェクションです。まだまだOWASPから落ちる事はなさそうです。
www.security-next.com
■公式発表 不正アクセスによるお客様情報流出に関するお詫びとご報告
つり番組に特化した専門チャンネルを運営する釣りビジョンのウェブサイトが不正アクセスを受け、顧客情報6万3656件が、外部に流出した可能性があることがわかった。
同社によれば、同社ウェブサイトに対し、「SQLインジェクション」の脆弱性を突く不正アクセスが海外から行われたもの。
1月5日にウェブサーバを管理する委託先より異常を検知したとの連絡があり、その後の調査で「脆弱性診断ツール」を用いたと見られる不正アクセスが行われていたことが判明したという。
不正アクセスを受けたデータベースには、2006年以降のプレゼント応募や、番組の人気投票に関する顧客情報6万3656件が保存されており、これらが流出した可能性がある。
このうち4682件には氏名、住所、メールアドレス、7629件には氏名とメールアドレスが含まれる。のこる5万1345件についてはメールアドレスのみだという。
(Security Next記事より引用)
◆キタきつねの所感
この事件記事をみて、まず思うのが、SQLインジェクションの脆弱性について、Webサイト運営者は未だに真剣に考えてないという事。個人情報漏えいが事件も多数発生している中で、SQLインジェクションを攻められたというのは、個人情報を取り扱う事業者という観点では問題があったのではないかと推測します。
公式発表を見ると、
TV視聴契約側ではないという事がかかれており、事件の影響を限定させようとする意図が感じられます。(間違っている訳ではもちろんありませんが・・・)
6万件の情報流出というのは、件数ベースで考えるとそう多くはありません。しかし特定の分野(釣り)での個人情報という意味では、コアなファン層のフラグを立てて他の情報とマージすると、価値のある情報であると言えるかも知れません。
IPAの最新の発表では、SQLインジェクションに関する脆弱性は一時期に比べて報告が減っています。勿論今回のSQLインジェクション攻撃が、0ディ攻撃あるいは、釣りビジョン社が脆弱性の対応中に不幸にも起きてしまった可能性もありますが、脆弱性診断ツールを使われたという事から想像すると、既知のSQLインジェクションの脆弱性を突かれたのだと思います。
internet.watch.impress.co.jp
脆弱性診断ツールを使った攻撃という所、ついに来たかなと思います。擬似攻撃ツールといえども攻撃ツールですので、攻撃者のレベルが国家レベルのハッカー並みに高くなくても、Webサイトの脆弱性を把握できてしまいます。そこで出てきた脆弱性がSQLとなれば、内部DBに本格的に攻撃をかけてきても不思議ではありません。
公式発表の時系列も興味深い部分があります。
1月5日は土曜日で、委託先会社が検知しても、事業会社である釣りビジョン社が判断をするまでに時差が出ています。詳細調査とIPブロックの判断したのは1月7日の月曜日となります。
週末で釣りビジョン社の判断ができる人が捕まらなかったのだと言えるかも知れません。勿論、大量の不正アクセスがこの期間に行われたという記載はありませんので、被害がなかったのかも知れませんが、インシデント発生に対して、体制が出来てない(判断できる人の携帯が繋がらないのは、責任者が釣りに出ていて電波が届かなかったのかも知れませんが・・・)事を示唆しています。
攻撃側は防衛側のセキュリティ体制が手薄な、夜間や休日を狙ってくる事が多いのですが、まさにこの事件はそのパターンを踏襲しています。
Web脆弱性診断は、定期的に実施すべきだと言われ続けていますが、事業者が実施をしない(委託会社に要求しない)事がリスクであると認識すべきだと思います。
でなければ、外部(海外IP)から、”脆弱性診断をされてしまう”のが先になってしまうかも知れません。今回の脆弱性について1月7日に修正が1日で終わっています。(おそらくパッチを当てたのでしょう・・)
最新パッチ当てがルーチン化されていれば(場合によってシステムを夜中に止める事も必要でしょうが)、被害を受けなかったのかも知れないのです。
参考:OWSP TOP10の日本語版は下記にPDFがあります。
www.owasp.org
更新履歴