Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ヤマダ電機は類似インシデントへの注意が不足していた

PCI DSS クレジットカード情報漏えい事件 つぶやいてみた。

少し前にコジマが個人情報漏えいを発表していましたが、ヤマダもそれかなと発表を読むとカード情報漏えいであった様です。EC加盟店からのカード情報漏えいは比較的小規模な所が多かったのですが、上場企業であっても油断すると危ないのだと改めて感じます。

www.yamada-denki.jp

 

■公式発表  弊社が運営する「ヤマダウエブコム・ヤマダモール」への不正アクセスによる個人情報流出に関するお詫びとお知らせ

(1)原因
三者によって「ヤマダウエブコム・ヤマダモール」に不正アクセスされ、ペイメントアプリケーションの改ざんが行われたため

(2)個人情報流出の可能性があるお客様
2019年3月18日~2019年4月26日の期間中に「ヤマダウエブコム・ヤマダモール」において新規クレジットカード登録、及びクレジットカード登録の変更をされたお客様最大37,832名で、流出した可能性のある情報は以下のとおりです。
【流出した可能性のある情報】
・クレジットカード番号
・有効期限
・セキュリティコード

・情報公開について
2019年4月16日情報漏洩の可能性は判明しましたが、正確な状況を把握しない段階で公表することは却って混乱を招くこととなることから、「ヤマダウエブコム・ヤマダモール」での新規クレジットカード登録、及びクレジットカード情報の変更を停止させて頂き、詳細調査を依頼している第三者調査機関の最終報告書をもって報告する事とさせていただきました。調査に時間がかかり、情報公開が遅れた事につきましても、深くお詫び申し上げます。

(公式発表から引用)

  

◆キタきつねの所感

最初に公式発表を読んだ際に、正直どの脆弱性を突かれてカード情報漏えいまで侵害を受けたのかがよく分かりませんでした。ペイメントアプリケーションの改ざんが行われた部分の意味が非常にとりずらく、

モバイルアプリがやられたとも取れますし、Webサーバ・DBサーバのかなり深い所まで侵害を受けたとも読み取る事もできる様な表現です。EC-CUBEが諸々の侵害を受けてECサイトが事故の公式発表を出したそれと比べると、少し表現が違うので、色々と混乱を呼び起こしている様です。

 

関連記事として、ヤフーニュースで以下の記事を拝読しましたが、ヤマダ電機がセキュリティコードを保存していたのか?といった疑問が諸々から起きている様です。

とは言え、大前提として2018年5月末までにカード情報非保持か、PCI DSS準拠(※注:準拠していればカード情報は保持できる事になります)を達成してないと、法令違反(改正割賦販売法)になる訳ですから、上場企業であるヤマダ電機が、そのチェックを怠った(実はカード情報をPCI DSS準拠をせずに、保持していた)と考えるのは少し無理がある指摘(仮説)だと思います。
news.yahoo.co.jp

 

因みに、上記の篠原さんの記事は、ページ改ざんという事件を引き起こした脆弱点を的確に書かれており、また、セキュリティコードを違法に保持していたのか?という部分にも誤解であると非常に分かりやすく書かれていますが、1点だけ私と意見が違う所があります。

1ヶ月以上、公表しなかったのは問題
 蛇足というか一応書いておきますが、ヤマダ電機が4月16日に情報流出の恐れがわかってから1ヶ月以上先の5月29日まで公表しなかったのは大きな問題だと筆者も考えています。

 

フォレンジック調査結果を待っての1か月半は、客観的に見て早い方です。もっと公表までに時間がかかっているECサイトからのカード情報漏えい事件はたくさんあります(※当ブログの過去のカード情報漏えい記事を見ると分かるかと思いますが・・・)

大型個人情報漏えい(カード情報漏えい)事件では、確かにECサイト事業者によっては第一報、第二報とリリースを上げるところもあります。

しかし最近のカード情報漏えい事件の多くは、フォレンジック調査会社の最終報告書を待ってから公式発表(リリース)を出しています。ヤマダ電機のシステムは小さなECサイトに比較すると規模が大きいかと思いますので、調査すべきシステムが多いので、報告書が出るまでに一定期間かかるのは仕方がない事ではないかなと思います。

 

会員数が多い企業なのだから、もっと小まめに状況を報告すべき(第1報、第2報・・・)である!と部分については(個人的には)ご指摘もごもっともと思いますが、他社の事故リリースでもそうした傾向が続いていますので、ヤマダ電機だけが必ずしも特異な訳ではありません。

むしろ、この部分についてを攻めるより、時系列から読み取れる矛盾を攻めるポイントがあったのではないでしょうか。(※何で識者の方々は時系列をよく見ないのかは疑問ですが・・・)

 

2019年3月18日~2019年4月26日の期間中に「ヤマダウエブコム・ヤマダモール」において新規クレジットカード登録、及びクレジットカード登録の変更をされたお客様最大37,832名で、流出した可能性のある情報は以下のとおりです。

 

2019年4月16日情報漏洩の可能性は判明しました・・・

 

気づきましたでしょうか?

公式発表にはヤマダ電機事件の封じ込めに失敗した事が明示されています。すなわち事件発覚から10日間侵害を受けた事を理解しながらカード登録系のサービスを止めてないのです。

 

想像するにヤマダ電機のシステム担当の方々は、原因調査を一生懸命探していたのかも知れませんが、結果として侵害の可能性が発覚して当該サービスを止めなかったのは、インシデント対応計画に不備があったからだと思います。(※データ侵害時にサービスを止める判断が曖昧だったか、書いてなかったのではないでしょうか)

ウィルス感染したらLAN線を抜く。様々な企業でこの対策というのは一般的になっているかと思いますが、この対策のECサイト版が曖昧だったのだとすれば、この10日間の空白(外部から見た)に結びつきそうな気がします。

 

さて、長々と書きましたが、では一体どの脆弱性を突かれたの?という最初の部分に戻ります。。。

実は、知人がヤマダ電機のコールセンターに問い合わせてみた内容を聞きましたオペレータの方からは、SOKAオンライン等と同じ様な偽決済ページへの誘導だったと説明を受けたそうです。

 

これが事実だとすれば、侵害されたシステムは他のECサイトのそれと違ったのかも知れませんが、管理者権限を侵害されて(あるいはシステムの脆弱性を突かれて)、決済ページ(※正確には決済ページ=決済代行会社に飛ばす直前のページ)が改ざんされて、偽ページに飛ばされたのだと思われます。

 

つまりヤマダ電機『Webページ改ざん』を防げなかった、あるいは検知が遅れたのが事件の原因なのだと思います。

 

だとすれば、カード情報非保持(※通常は決済代行会社などの非保持ソリューションを使っています)との、つなぎの部分ヤマダ電機側の責任範囲(Webページ管理範疇)が侵害を受けた、言い方を変えれば境界線の責任が曖昧な部分を突かれたという事なのだと思います。

 

公式発表を読むと、侵害を受けたのは、今年の3月から4月です。それ以前、去年の秋ころから類似のECサイト攻撃事例はたくさんありました。それを考えると、ヤマダ電機は他社の侵害事件を学ばなかった、つまり油断していたと言えるのではないでしょうか。

 

 

f:id:foxcafelate:20190531054338p:plain

更新履歴

  • 2019年5月29日PM(予約投稿)