Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ドラックイレブンは2度調査を行う必要があった

個人情報だけ漏えいしたと思ったら・・・クレジットカードデータも漏えいしてましたという記事。最初のフォレンジック調査をした会社に専門性が無かったのかも知れませんが、何とも残念な2段階調査な気がします。

www.nikkei.com

 

■公式発表 不正アクセスによる個人情報流出に関するお詫びとご報告について(続報)

 

1 経緯

2018年11月10日時点では、流出した個人情報の中にクレジットカード情報は含まれていないとお知らせしておりましたが、第三者機関への調査の結果、当社ホームページの通信販売サイトで購入されたお客さまのクレジットカード情報が不正に抽出されるプログラムの改ざんが発見されました

その後、クレジットカード情報流出に専門性を有した調査機関に再度調査を依頼したところ、2016年4月12日~2018年11月8日の期間に、当社ホームページにて、通信販売サイトでクレジットカード決済されたお客さまのクレジットカード情報及び不正に抽出されデータベース内に記録されていたクレジットカード情報が流出した可能性が判明したため、本日のご報告に至りました。

 

2 今回新たに判明した個人情報流出状況

(1) 原因

  クレジットカード情報流出

(2) 対象のお客さま

2016年4月12日~2018年11月8日の期間に、当社ホームページにて、通信販売サイトでクレジットカード決済されたお客さまのクレジットカード情報及び不正に抽出されデータベース内に記録されていたクレジットカード情報458件

※ 流出した可能性のある情報

・ カード名義人名

・ クレジットカード番号

・ 有効期限

 セキュリティコード

(公式発表より引用)

 

◆キタきつねの所感

クレジットカード関連で漏えいが発生したかどうかは、専門性のある事故(フォレンジック)調査会社しか実施ができないルールになっています。(日本の会社だと数社しかライセンスが無かったかと思います)

 

公式発表を読むと、もともとあった決済ページに不正なコードが仕掛けられていただけでなく、不正データ抽出のプログラム改ざんされた可能性が高く、つまり2種の攻撃を受けていた事が推測されます

当社ホームページにて、通信販売サイトでクレジットカード決済されたお客さまのクレジットカード情報及び不正に抽出されデータベース内に記録されていたクレジットカード情報が流出した可能性

 

抜き取ったデータを、C&Cサーバに取引毎にクレジットカードデータを直接転送しているのかなと思ったのですが、(その可能性はあるのでしょうが、本命は)一度データベースに不正にデータを蓄積し、まとめてデータを抜き取っていた様です。

 

この手法の方が事件が発覚しにくいからかなと推測しますが、データベースとWebページの間の正常な通信を装っていたとすると、検知するのが難しかったのかもしれません。

しかし、内部データベースから最終的には外部に蓄積したデータを持ち出しているわけですから、不正通信のポート、不審な通信先、特権IDの侵害(昇格)等の怪しい動きを検知できた可能性があったのではないかと思います。

そうした意味では決済代行会社にカード情報をお任せする=カード情報非保持であるからといった油断を突かれたと考えて良いかと思います。

実行計画2019は、来年3月には出てくると思いますが(※2020年まで毎年更新すると聞いています)、この辺りのリスクについて明確にかかれず、結果としてEC加盟店(対面加盟店)のリスク認識が薄くなれば、2020年にかけて深刻な事件が続いてしまう可能性が高いかもしれません。

 

非保持ソリューションを導入した事によりリスクは軽減されますが、自社の責任範疇(サーバへの侵入、決済ページの改ざん等)まで安全が担保された訳ではありません。自社システムを改めて点検する必要がある加盟店は多いのではないでしょうか。

foxsecurity.hatenablog.com

 

 

 

余談です。タイトルにもある2度調査の件ですが、2008年にSQLインジェクションで、クレジットカード情報を漏えいした「サウンドハウス」社の公式発表をふと思い出しました。クレジットカード情報を漏えいした(可能性がある)場合、きちんとルールを知らないと加盟店の負荷が大きい事が、この資料の後半に書かれている時系列を見るとわかるかもしれません。(※この事件の頃は、カード会社担当もよくルールを知らなかった気がしますが・・・)

 

不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ サウンドハウス

 ※少し古いですが、今でも勉強になる部分が多々あると思います。

 

今回、改めて報告書を読み返して、感銘を受けた部分を少しだけ引用させて頂きます。(後半は、社長の熱い想いが伝わってくる報告書です・・・)

セキュリティシステムは日々陳腐化しても、ハッカー技術は常に日々、新しい策を見つけて進化している訳ですから、100%安全なシステムなど、もはや存在しないのです。厳しい現実を直視して、ハッカー対策に取り組んでいかなければならないと、この度、認識を新たにしました。

 

もし本当にセキュリティ対策をクレジットカード会社を重視するならば、加盟店が当初、申請をする時点で、セキュリティ対策がしっかりとられているかどうか、一定の基準を設けてチェックし、それにパスした店舗のみを加盟店とするべきでしょう。ところが現実にはカード会社同士の営業競争があるのでしょうか、加盟店を安易に増やすことが優先され、問題が生じた時にのみ調査をするという、逆の順序になってしまっています。クレジットカード情報の流出、及び不正利用においても、クレジットカード会社はもっと情報を公開して、不正使用の予防に役立つようなデータを周囲に提供するべきでしょう。現実問題としては、クレジットカード会社は情報の公開を避ける傾向にあり、クレジットカード情報の流出や不正使用について、タイムリーに情報をリリースしてないように見受けられます。そしてセキュリティ対策よりもむしろ、クレジットカード契約者数を増やすことに熱心であるように見えるのは、気のせいでしょうか。

 

 

äºæ調æ»å®ã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年2月4日PM(予約投稿)