Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

管理者アクセスは安全か?

みずほ銀行の海外子会社、これもサプライチェーン攻撃と言えるのかも知れません。

www.nikkei.com

 

みずほ銀行は15日、シンガポール連結子会社、ユーリカヘッジがサイバー攻撃を受け、顧客情報が漏洩したと発表した。ユーリカヘッジは機関投資家などにヘッジファンドの情報を提供している。顧客の担当者名やメールアドレス、電話番号など少なくとも数十件が漏洩した。顧客の口座番号などの決済、信用情報は保有していないという。

8日に同社のウェブサイトの管理者画面が不正アクセスを受けたことが判明。詳しい原因を調査している。管理していた顧客情報は約12万件あるという。

日経新聞記事より引用)

 

■公式発表 Press Release: Statement on Cyber Incident Regarding Eurekahedge 

 

◆キタきつねの所感

セキュリティに厳しい(と思われる)メガバンクであっても、サプライチェーンはそこまでセキュアでは無いのかも知れません。個人情報が数十件漏洩した可能性があると発表されていますが、気になったのは攻撃を受けた脆弱点です。

「ウェブサイトの管理者画面」が起因という事なので、0ディではなさそうです。魚拓サイトも見てみましたが、よくあるURLでは特に何も脆弱点は出てきませんでした。

 

しかし管理者画面が攻められたというのは、メガバンク子会社の金融系サイトとしては、セキュリティに問題があったと考えます。みずほ銀行のリリースを見ると、

2.対応について
①ユーリカヘッジは、サイバー攻撃者によるシステムへの再侵入等を防ぐ観点から、すでに、管理者 ID のパスワードの変更WEB サイト管理システムへの外部アクセス遮断等の処置を取っております。

みずほ銀行リリースより引用)

 

①管理者IDを変更=管理者パスワードが脆弱(あるいは使い回ししていた) 

 事を示唆していますし、

 

②WEBサイト管理システムへの外部アクセス遮断=外部から管理システムにアクセスできた 

 事を意味します。

 

①はともかく(残念ながらよくある事です)②は何の必要性があって外部(インターネット)から接続可能にしたのか?非常に疑問です。通常は内部IPに接続を絞るのではないでしょうか?また、仮に外部アクセスの必要性があったとしても、多要素認証を行う位の慎重さが必要だったかと思います。

 

外部から推測できる点がもう1つありました。今回不正アクセス被害を受けた、ユーリカヘッジのサイトはSSLの既知の脆弱性を潰して無かった可能性が高いです。(Poodle攻撃を受けた可能性もあり得ます。)

 

ユーリカヘッジの株式95%はみずほ銀行保有している訳ですから、銀行と同じ位の厳しいセキュリティチェックを子会社に対してもみずほ銀行はすべきだったのではないでしょうか。少なくても脆弱性診断をすれば、上記の脆弱点はすぐに出てきたかなと思います。

 

日経記事によれば調査中という事ですが、判明している脆弱点を見る限り、今後の調査によっては漏洩データ件数は数十件という単位ではなく、もっと(最終発表では)増えてしまう気がしました。

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 

f:id:foxcafelate:20190817151116p:plain

 


 

更新履歴

  • 2019年8月17日AM(予約投稿)