Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

プリンセスは踏んだり蹴ったり

不正アクセス事件

ダイヤモンド・プリンセス、グランド・プリンセスと世界に旋風を巻き起こしているプリンセス・クルーズ社がデータ漏えいを発表しました。

www.darkreading.com

 

プリンセスのウェブサイトに掲載された通知では、2019年5月下旬に疑わしい活動が特定されたと述べています。法医学の専門家が調査を開始するために雇われました。2020年3月初旬に公開されたと考えられている通知の投稿を待っていました。

アクセスされた従業員アカウントには、プリンセスの従業員、乗組員、およびゲストに関する個人データが含まれていました。侵害されたデータのタイプは「個人によって異なる」が、当局は、名前、住所、社会保障番号、政府識別番号(パスポート番号または運転免許証番号)、クレジットカードと銀行口座情報、および健康データを含めることができると述べています。

(Dark Reading記事より引用)※機械翻訳

 

 

プリンセス・クルーズ社の発表

 

 

キタきつねの所感

プリンセスクルーズ社の公式発表にはDark Readingの記事よりは少し詳しい記載がありました。(調査中である事も影響してか、被害件数等の影響範囲は書かれていません)

f:id:foxcafelate:20200315113511p:plain

 

どうした?
2019年5月下旬に、ネットワーク上の疑わしいアクティビティを特定しました。この潜在的なセキュリティの問題を特定したら、サイバーセキュリティの法医学の専門家に依頼し、何が起こったのか、どのデータが影響を受け、誰が影響を受けたのかを判断する調査を開始しました。2019年4月11日から7月23日までに、認可されていない第三者が、従業員、乗組員、およびゲストに関する個人情報を含む従業員のメールアカウントへの不正アクセスを取得したようです。

どんな情報が含まれていましたか?
影響を受ける可能性のあるデータの種類は個人によって異なりますが、名前、住所、社会保障番号、パスポート番号や運転免許証番号などの政府識別番号、クレジットカードと金融口座情報、健康関連情報などが含まれます。このリストは各ゲストに固有のものではありません。個人に影響を及ぼす個人情報の悪用の証拠はありません

(公式発表より引用)※機械翻訳

 

時系列を見ると、おかしな所が見えてきます。疑わしき活動の初期検知は、2019年5月下旬です。ところがフォレンジック調査の結果における、侵害期間は2019年4月11日~7月23日となっています。

疑わしき活動を検知してから2か月三者が活動していた可能性がある事を示唆しています。予想ではコロナウィルス(#ありがとうWHO)事件の影響を受けて、プリンセス・クルーズ社は乗客からの訴訟を相当抱えると思いますが、この事件でも訴訟される可能性を感じました。

現時点で漏えいした可能性がある個人情報が悪用された形跡が無い様ですが、高額なクルーズに参加する顧客リスト、あるいはカード情報を含む個人情報は、Dark市場でも価値があると思われるので、既に漏えいしている他のリストと加工されてDark市場で販売される可能性は十分あります。

 

今回不正アクセス被害を受けたのは機械翻訳では文章から読み取りが難しいのですが「従業員アカウント」の様です。顧客との対外的な窓口となる営業系担当のアカウントかとも思ったのですが、従業員や乗組員の情報まで洩れる事は不自然です。そう考えると、例えば船長や経営陣の持つアカウント、といった役職の高い従業員アカウントが攻撃を受けたのではないかと推測します。

 

この推測が当たっている場合、米国や欧州での(集団)訴訟で、厳格に守られているべき(役職の高い従業員)アカウントを適切にセキュリティ保護してなかったとして、会社側は激しく批難されるのではないでしょうか。

 

コロナウィルスの影響だけでもプリンセス・クルーズ社はクルーズの停止を含む、大きな経営課題に直面していますが、更にこの事件が加わるとなると、経営陣には相当厳しい舵取りが課されたと言えそうです。

 

 

余談ですが、日本人の乗客が多く滞在した「ダイヤモンド・プリンセス」も対象に含まれている可能性があります。(※今回の発表では影響範囲が限定されていません)

 

公式発表には、以下の様な記載がありました。

※このブログの読者の方に対象の方が居るかは分かりませんが、変な(フィッシング)メールと、クレジットカードの利用明細辺りを注意しておいた方が良いかと思います。

米国およびカナダ以外
個人情報の盗難や詐欺の脅威に常に注意し、不正な取引や活動の兆候がないか、アカウントの明細書と信用履歴を定期的に確認および監視することをお勧めします。
個人データが悪用されていると疑う理由はありませんが、個人情報の盗難や詐欺の被害者であると疑われる場合は、地元の警察または法執行機関に連絡することをお勧めします。
あなたを知っている、またはあなたが取引している可能性のある企業であり、パスワード、政府または国民識別番号、銀行口座情報などの機密情報を電子メールで要求する誰かが「フィッシング」メールに注意してください。電子メールでこの種の機密情報を要求することはありません。

(公式発表より引用)※機械翻訳

 

 

本日もご来訪ありがとうございました。

Thank you for your visit.

 

 王女様・お姫様のイラスト

 

更新履歴

  • 2020年3月15日 AM(予約投稿)