「宅ふぁいる便」サービスからの情報漏えい事件について、詳細調査が終わった事を受けて、大阪ガス子会社のオージス総研が記者会見を3/14開き、併せて追加リリースを出しました。
www.itmedia.co.jp
■公式発表 「宅ふぁいる便」サービスにおける不正アクセスについて ~お客さま情報の漏洩について(お詫びとご報告)~
◆キタきつねの所感
事件に関する時系列(リリース内容)を見ると、非常に迅速な対応をしている事がわかります。対応の早さ、そして分単位で対応が事細かに出ている内容は、素晴らしい内容かと思います。
しかし、この内容には疑問も出てきます。
①不正アクセスの期間が不明瞭
ここには何時攻撃を受けたのかがまったく書いてないのです。事件の詳細調査(フォレンジック)をしている訳ですから、攻撃を受けた(推定)期間は判明しているのではないでしょうか?
もしかすると、1月22日(火)9時38分の時点で「即時検知」したとも考えられますが、一般的なデータ侵害事件では、システムには相当前から侵入されている事が多い事、また漏洩した件数が多い事を考えると、「即時検知」が出来たとは想像できません。さらに言えば、仮に1月22日に「即時検知」出来ていたとすれば、481万件のデータが大量に漏洩していくのを、約10時間見続けていた事になるので、攻撃元IPからの通信遮断をする判断が遅すぎるのではないでしょうか?
サービス停止に対してビジネス上の判断が必要な事は分かりますが(※時系列上では、1月23日(水)の判断)攻撃を受けている事が分かっていて、当該IPをブロックしないのは如何なものかと思います。
少なくてもインシデントレスポンスプラン(対応計画)で、こうしたケースを想定してなかった事については、オージス総研は責められて仕方がないかと思います。
(個人的な勝手な推測では、相当前から侵害を受けていたのが恥ずかしくて公表できない、あるいは侵害を受けて、すぐに検知したのは良いけれど、判断権限を持つ責任者の方がゴルフにでも出かけていて連絡がつかないうちに被害が拡大した・・・といった「公表できない何らかの理由」があるのではないかと思います。)
②事件の原因(「一部のサーバの脆弱性」「不正アクセス」)の詳細を公開しない
オージス総研は、事件の経緯を複数回発表しています。この事自体は非常に真摯に対応していると思います。しかし、今回の発表をもっと、おそらく最終報告として記者会見まで開いている訳ですから、当然の事ながら、事件を受けた原因が出てくるものと思っていました。
細かい手法はともかくとして、例えばSQLインジェクション、パスワードリスト、パッチ当て不備、0ディ攻撃・・・大まかな脆弱点くらいは公表出来なかったのでしょうか?
日経新聞の3月14日記事では、
大容量ファイル転送サービス、漏洩の再発防止策 大阪ガス系 :日本経済新聞
専門機関の協力を得て調査を進めた結果、オージス総研が顧客から預かったファイルの漏洩はなかったとしている。漏洩の具体的な原因はセキュリティー対策上、非公開とした。
(日経新聞記事より引用)
としていますが、
同じく日経新聞の1月25日記事では、
宅ふぁいる便、480万件顧客情報流出、不正アクセスで :日本経済新聞
会見したオージス総研の小田垣正美常務執行役員は「原因特定を最優先としたい。脆弱性をカバーして復旧する」と述べ、再開時期は未定とした。
(日経新聞記事より引用)
と、経営陣が1月に記者会見で発言している訳ですから、今回の会見や公式発表で原因部分にも踏み込むべきだったのではないでしょうか?
③インフラ要素のある「宅ふぁいる便」に対するセキュリティ意識の希薄
「セキュリティ対策上」の理由で原因を公開できないとなると、外から推測できるのは
対策案(再発防止策)の部分からしかないのですが、
ここでは、4つの事が書かれています。
事件起因での対策なので、この部分が脆弱であったから事件が発生した、と見る事ができます。以下推測を多分に含みますが、、、
最初のサイバー攻撃に対する対策強化は全般的な対策を指しているのかと思います。
2番目の監視強化は、不正アクセスの形跡を検知している事から考えると、検知が遅かったという事を反省しての対策だと思います。この推測が合っているならば、時系列以前からシステム内に侵入されていた可能性が高くなります。
3番目の第三者のセキュリティ監査、、これを挙げるということは、第三者のセキュリティ監査をしてこなかった事を示唆しています。ここについては、400万件以上の個人情報を預かるサービスオーナーとして責を問われるべき部分ではないでしょうか。とは言え、第三者セキュリティ監査(システム監査)をしていたのであれば、外部攻撃に対する脆弱性が指摘されていた可能性もありますし、長年パスワードが暗号化(ハッシュ化)されてない事を見過ごすとは思えませんので、そもそもの個人情報漏えいの最大リスクは存在してなかったかも知れません。
4番目の強化対策部の設置ですが、「社内横断的にこの再発防止策を早期に実行するために、「セキュリティ強化対策部」を設置します。」と書かれていますので、対策実装のスピードを早めることを目指しているのだと思いますが、縦割り組織の弊害が事件の遠因となったと言う意味も含まれているのかなと、私は解釈しました。
システム運用担当、パートナー企業(システム管理委託先)、CSIRT、経営陣 の関係者連携がもっと取れていたら、この事件の被害範囲がもっと少なかったであろう事が時系列から伺える訳ですが、CSIRTの強化ではなく、実装対策の部門を強化する・・・という所に、オージス総研が、このサービスを打ち切る可能性も感じました。
④対策へのスピード感がない
新たな部署について日経新聞では、
大容量ファイル転送サービス、漏洩の再発防止策 大阪ガス系 :日本経済新聞
社内横断で対策を実行する「セキュリティ強化対策部」も4月に新設する。
(日経新聞記事より引用)
と書かれてました。何故3月からでないのか・・・については、定期人事異動を考慮しているのだと思いますが、事件対応ですので、最小限の人員を配置(兼務発令)して「セキュリティ強化対策部」設立済み、として記者会見しても良かったのではないでしょうか?人員は後から補充しても良いのですから・・・
余談ですが、オージス総研はCSIRTを設置しています。
今回のインシデントに対して、CSIRTがどの程度機能したのかは、公式発表や関連記事にも出てこないので分かりませんが、関連部門の新設よりも、専門性が高いCSIRTが経営陣と主導する様な形で対策を講じていく方が良い気がするのですが、そこまで対応リソースが無いのかも知れません。
また、公式発表には、
とあるので、暗号化の部分(移行も含め)や追加セキュリティ対策の実装に相当、コストと時間がかかりそうな見立てである事が分かります。
更に、関連記事をよく調べてみると、読売新聞には、
「宅ふぁいる便」情報流出、原因は不正アクセス : 経済 : 読売新聞オンライン
流出したのは、過去2年間の退会者を含めて利用者481万5399人分の生年月日やメールアドレスなど。サービスを使って利用者が送ったデータは流出しなかったという。宅ふぁいる便は現在休止中で、廃止も含めて検討する。
(読売新聞記事より引用)
とありました。この辺りが、「宅ふぁいる便」サービスに関して、(CSIRT主導ではなく)関連部署で検討を急ぐ事に重点を置いている理由なのかも知れません。
西日本新聞には、
www.nishinippon.co.jp
大阪市内で記者会見した西岡信也社長は、社内に安全対策に取り組む専門部署を新設するなどと説明。経営責任については「再発防止策を講じるのが私の責任だ」と報酬減額などは行わない考えを示した。
(西日本新聞記事より引用)
とありましたので、社長が積極的に事件対応に関わる、そんな強い想いが伝わってきますが、もっと対応スピードを早めないと、無料サービスで大阪ガス子会社の信用で多くのユーザが付いていた前提が崩れ、折角対応をしても、サービスとして成り立たなくなってしまう事を懸念します。
最後に、既に「宅ふぁいる便」を装うフィッシングメールの注意喚起が出されていますが、
QAを見ると、どうやら4月1日頃に会員がパスワード確認が出来るサイトが開設される様です。
4月の開設に併せたフィッシングメールや、この確認サイトが一般公開である場合、第三者が外部で入手したIDとパスワードを試す場として使う・・・そんな攻撃も出てくる気がします。追加被害拡大の恐れもあるので、(1ユーザとして)継続してウォッチしたいと思います。
参考
foxsecurity.hatenablog.com
foxsecurity.hatenablog.com
更新履歴