カメラのキタムラが不正アクセスを受けて、顧客情報40万件を不正閲覧された可能性があると報じられていました。
www.itmedia.co.jp
公式発表
経緯
(1)弊社が運営する「カメラのキタムラネットショップ」において、
2020年4月4日(土)~5月27日(水)にかけて、複数のIPアドレス(日本国外)より、
メールアドレス・パスワードを使い“なりすまし”による不正アクセスが行われました。
そのうち、複数名の会員が不正にログインされ、お客様情報を不正にアクセスした第三者に閲覧された可能性があることが同年5月28日(木)に判明しました。
その後も継続して不正アクセスを確認しております。
なお、今回使われたメールアドレス・パスワードは弊社内からではなく、
第三者が外部で不正に取得したものと思われます。
(公式発表より引用)
キタきつねの所感
リリース内容を見ると、会員のパスワード使い回しが一義的には問題があるとは思いますが、カメラのキタムラは不正アクセスに対して「完全に無防備」だった事が影響範囲を拡大したと思います。
約2か月間、カメラのキタムラは事件を検知できていません。
時系列に書くまでもないのですが、まとめてみると日付の不自然さが目立ちます。
No |
日付
|
備考
|
1 |
4月4日(土)~5月27日(水)
|
複数のIPアドレス(日本国外)から、なりすましによる不正アクセスが行われた。
|
2 |
5月28日(木)
|
事件を検知
|
3 |
|
その後も継続して不正アクセスを確認
|
4 |
6月15日(月)
|
事件を公表
|
攻撃期間が長い事を考えると、パスワードスプレー攻撃であった可能性が考えられますが、コロナ禍中の対応を併せて勘案しても、2か月は「気づくのが遅すぎる」と思います。
参考:【セキュリティ ニュース】パスワードスプレー攻撃が大量発生中 - ウェブメールなど標的に(1ページ目 / 全2ページ):Security NEXT
また、IT Mediaの記事と見比べると、公式リリースでは、意図的に事件を小さく見せようとした様に思える表現がありました。
IT Media記事では最大影響件数が「約40万件」と書かれています。
第三者が顧客のメールアドレスとパスワードを不正に取得し、会員になりすましてログインする攻撃が相次ぎ、計約40万件の個人情報が閲覧された可能性があるという。
(IT Media記事)
ところが公式発表では、「複数名」と表記されています。
そのうち、複数名の会員が不正にログインされ、お客様情報を不正にアクセスした第三者に閲覧された可能性があることが同年5月28日(木)に判明しました。
(公式発表より引用)
カメラのキタムラは上場企業ではないので、公表の内容について株主から厳しく問われる事が無いのかも知れませんが、親会社カルチュア・コンビニエンス・クラブ(CCC)の個人情報の取り扱い方針に則り、キタムラネット会員に向けて、もっと正確な情報を発信すべきではないでしょうか。
カメラのキタムラの会員数は、2017年の発表で800万人を超えていますので、同じペースで伸びていたと仮定すると、当時900万人近くの総登録者があったと推測されます。
約900万人の会員規模から見れば、40万人は4%程度ではありますが、複数名と表現するのはかなり無理があると思います。
「キタムラネット会員」登録数800万人を突破! 店舗とネットを自由に使えるオムニチャネルをさらに推進|株式会社キタムラ
※2020/6/7追記: 日経XTECHの記事では約1000万人の会員数と書かれていました。
どこかで似たような事件が・・・と思って、記事を読んでいたのですが、カメラのキタムラは2018年1月にも不正アクセス(パスワードリスト攻撃)を受けており、下記記事を書いていました。ドコカデミオボエガアルトオモッタラ・・・
foxsecurity.hatenablog.com
2018年の事件に対するリリースを改めて読み直してみたのですが、同じ書き方、すなわち「複数名の会員」が被害を受けたとだけ書かれており、具体的な流出件数が明記されていません。ほぼリリース内容がコピペです。
そう考えると、前回も大量の顧客情報が漏えいしていた(不正閲覧されていた)可能性があるのではないでしょうか?
さて、2回目の不正アクセス被害だという事も含めて、カメラのキタムラの事後対策を見ていきます。
2.現時点での対策について
本件を受けまして、弊社は、現時点で次の対策を講じております。
不正にログインされたお客様については、同様の被害を防ぐため、弊社がログインパスワードを初期化し、メールでの注意喚起及びパスワード再設定のご連絡を差し上げました
不正アクセスをした特定のIPアドレスからのアクセスがないか、監視を強化しております
(公式発表より引用)
影響を受けた会員(40万人)のパスワードリセット、これは分かります。
2点目については、「特定IPアドレス」だけだと危ない・・・と思います。海外IPから、あるいは少数のIPからの大量のアクセス試行をトリガーにして検知する事が必要な気がします。
監視を強めると書かれていますので、当然そうした事は書かれてなくても含まっていると思いますが。
しかし気になった点が。。。
前回の今後の対策にも同じ事が書かれています。
3.今後の対応について
弊社では本件を厳粛に受け止め、外部の有識者の助言も踏まえ、更なるセキュリティレベルの向上策を講じ、再発防止に努めてまいります。
(今回の公式発表)
3.今後の対応について
弊社では本件を厳粛に受け止め、外部の有識者の助言も踏まえ、更なるセキュリティレベルの向上策を講じ、再発防止に努めてまいります。
(2018年の公式発表)
素朴に疑問なのが、外部の有識者は、前回何を助言したのでしょうか?
現状の対策のままで良いと助言されたのでしょうか?それとも助言はあったが、対策は不要とカメラのキタムラで判断したのでしょうか。本当に助言を求めたのでしょうか?
2度目の不正アクセスを受けた事について、カメラのキタムラは、
今度こそ「本件を厳粛に受け止め」る事が必要な気がします。
でなければ、会員の信頼を失う気がしてなりません。
※IT Mediaの記事では今後の対策の中身について下記の様に書かれていますが、早期に対策が出来なければ、「再発」リスクが高い気がします。
加えて、二段階認証や多要素認証、reCAPTCHA(人間とbotを識別するAPI)などのセキュリティ対策も、可能なものから早急に実装するとしている。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
- 2020年6月16日 AM
- 2020年6月17日 AM 日経XTECH記事を受け追記