Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

象印の再発防止策を考えてみた。

不正アクセス事件 クレジットカード情報漏えい事件 考えてみた。

昨年12月に情報漏えいを発表した象印の調査結果が発表されていました。

www.zojirushi.co.jp

 

公式発表

 

 

キタきつねの所感

昨年12月の顧客情報漏えい事件発表の後に記事を書きましたが、象印マホービン2回攻撃を受けています。1回目が不正アクセスによる個人情報漏えい(カード情報含まず)で、2回目がQUOカード当選のフィッシングメール(プレゼント当選しているのに、何故か送料負担の為、カード情報入力を求める)による攻撃です。象印側が事件を検知したのは、2回目のフィッシングメールに対する顧客からの問い合わせを12/4に受けた事からの調査とありますので、自社検知が出来てなかったと言えます。

参考:

foxsecurity.hatenablog.com

 

不正アクセスによる個人情報漏えいの詳細については、以下の通り発表されています。

(1) 「象印でショッピング」への第三者による不正アクセス
(a) 流出した可能性のある個人情報件数: 最大 270,589件 (2015年2月18日以降ご購入のお客様)

(b) 流出した可能性のある個人情報
象印でショッピング」にてご購入をされていたお客様の情報
<必須入力情報>
お客様名、住所、注文内容(商品、金額等)、配送先情報、メールアドレス、電話番号
<任意入力情報>
生年月日、性別

 

(2) 偽装メールによるクレジットカード情報を入力させようとする偽装サイトへの誘導
(a) 窃取された可能性のある個人情報件数
2019年12月4日の偽装メールに関連するもの: 最大 延べ734件
以降の偽装メールに関連するもの: 不明(情報を入力されたお客様数)

(b)窃取された可能性のある個人情報
クレジットカード情報
カード名義人名
クレジットカード番号
有効期限
セキュリティコード

その他情報
偽装サイトでお客様が入力されたパスワード

(公式発表より引用)

 

個人情報漏えいに関しては12月時点では28万件と言われていましたので、1万件程減った様です。

カード情報の漏えい件数に関しては、フォレンジック調査待ちとなっていましたが、延べとは言え、734件はかなりフィッシングに引っかかった方が居た事を示唆していますので、正直多すぎる印象です。(※12月4日にフィッシングメールが出され、同日の20時50分にはサイトを閉鎖していますので、実質1日未満です)

会員数を一定数抱えている有名企業では、サイト改ざん攻撃+フィッシング攻撃が有効であると考えるハッカーが同様な攻撃を今後仕掛けてくる可能性には警戒が必要かと思います。

 

象印の発表を見ていて、気になったのが再発防止策=事件の脆弱性を含んでいる場合が多い)です。

6.再発防止策ならびに情報セキュリティ強化の取り組み

弊社は今回の事態を厳粛に受け止め、第三者調査機関の調査結果を踏まえて、システムのセキュリティ対策および監視体制を強化し、再発防止を図ってまいります。
また、情報セキュリティ体制面においても強化に取り組んでまいります。

以下に主な取り組み内容をご報告いたします。

【システム面におけるセキュリティ対策】
  • 異常を検知する監視機能の強化2019年12月25日完了
  • システムや情報へのアクセス制御の厳格化、ID・PWの管理強化2019年12月25日完了
  • 不正プログラム感染防止対策の実施2019年12月26日完了
  • 全公開サイトの証明書強化(EV-SSL化)2020年 1月31日完了
  • 通信ネットワークの保護強化(構成見直し・侵入検知等)2020年 2月中旬完了予定
  • 改ざん検知・監視機能の強化2020年 2月末日完了予定
【情報セキュリティ体制の強化策】
  • 情報セキュリティ定着に向けた公的認証(ISMS)の取得を予定

 

自社での侵入検知がまったくできて無かった(顧客の問い合わせがきっかけだった)事からだと思いますが、異常検知・侵入検知・改ざん防止・監視強化等の対策が並ぶのは仕方が無い事と思います。多層的な対策に見えますので2度と事件は起こさないという象印側の強い意志を感じます。(※個人的には”今回の事件に関しては”改ざん検知機能があれば初期の段階で象印側も侵入を検知できた可能性が高いと思います。※※管理者権限使われて改ざんログを消される部分は別にして

それ以外の対策を見ると、アクセスの厳格化という所が気になります。推測になりますが、管理者パスワードを不正窃取された可能性を、この対策から感じます。(※EC-CUBEサイトの対策と同様にIPアクセス制限や強固な管理者認証を対策として意味していると思います)

 

言い方を変えれば、他のECサイトも多層防御を念頭に、こうした対策を考えておくべき、そうこの事件リリースを見るべきかと思います。

 

個人的に非常に気になったのが常時SSLの対策です。おそらくフィッシングサイト(のジャンプページ)を自社内に作られた所に関係するのかと思いますが、部分的なSSL/TLSだはなく、常時SSLを対策として挙げてきているところに、他社が参考になる部分もあるのではないでしょうか。

余談ですが、12/6のフィッシング詐欺対策にリンクしている(4.フィッシング詐欺(注)対策について)結構丁寧に書かれていて、ユーザ啓蒙の参考になると思います。

 

PCでの証明書の確認のみならず、

f:id:foxcafelate:20200209090638p:plain

f:id:foxcafelate:20200209090658p:plain

 

スマホでの証明書(EV証明書)のやり方を解説しています。

ユーザ啓蒙はここまでやるべきなのではないでしょうか。

f:id:foxcafelate:20200209090736p:plain

f:id:foxcafelate:20200209090755p:plain

 

最後にこっそりと・・・

www.nikkei.com

 

何も根拠がありませんが、事件があった後なので、日経の記事(1/21)が気になりました。中国レンジ大手の創業家象印マホービンの株を買い増ししたとの内容です。

株価チャートを見る限りは関係なさそう(事件後も株価上げていますですが、事件を受けて株価が下がった所を買い占める、サイバー攻撃の場合は「株」という要素も攻撃要因に含まってくる可能性がある、時もありますのでご留意を。

 

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

  捕まった象のイラスト

 

 

更新履歴

  • 2020年2月9日 AM(予約投稿)