保育士、介護士に特化した人材派遣会社アスカへのSQLインジェクション攻撃が報じられていました。
president.jp
公式発表
人材派遣会社のアスカが、所有する個人情報、最大約3万件を漏洩したことがわかった。同社によると、5月下旬に外部から受けたサイバー攻撃が流出の原因としており、同社は群馬県警に被害を相談している。また「情報が流失したことについて、今後利用者にお知らせしていく」とし、情報漏洩について近々正式に発表する。
(中略)
サイバー攻撃は5月下旬に行われ、これによって流出した個人情報リストがインターネット上の掲示板にアップロード・転載された疑いがある。また、同社HPの「お知らせ」や「お仕事募集」のページも不正に書き換えられ、「要人殺害募集:時給150000~300000円」などの内容が記載されていたことがわかっている。アスカは5月25日に群馬県警に相談しており、「現在はシステムを更新済みであり、これ以上の情報漏洩はない」と説明する。
(PRESIDENT Online記事より引用)
キタきつねの所感
プレジデントオンラインが取り上げるテーマなのか?は疑問が残るのですが、他メディアは報じてない様ですので、確度の高いソースからの情報があった上でのスクープ記事なのかと思います。
攻撃としては2種、SQLインジェクション(の疑い)による仮登録者(応募者)3万人の個人情報漏えい、そしてHPを改ざんされた事です。
サイバー攻撃については、当然の事ながら第一義的には攻撃側が悪いのですが、攻撃を受けたアスカの記事における対応を考えると、個人情報を預かる、人材派遣会社としてセキュリティ体制にかなり問題があったと思います。
アスカはその責を今後問われる事になるのかと思います。
HPの改ざんについては、トップページを見ると「http」だったので、この事が原因ではなかったにせよ、企業としてのセキュリティへの力の入れ方が伺える部分でもあるだけに、改ざん攻撃をあまり意識してなかった事を伺わせます。
ただ、PRESIDENT Onlineの記事にある「お知らせ」と「お仕事募集」の掲載情報改ざんについては、HPのデザイン構成から考えると、掲載内容にしばらく変更がなければ、意外と気づきにくいかと思うので、仕方が無かった面もあるかも知れません。
※注:HPを確認しましたが、「お仕事募集」というページ(タブ)は確認できませんでした。おそらく「新着求人案内」を指しているのかと思います。
同様に、5chあたりに犯行声明が書かれて、登録者のデータが掲載されていた様ですが、こちらも普段から巨大掲示板等をウォッチしてないと、すぐに気づくのが難しいかと思いますので、規模の大きな会社でなければ、即時対応が出来なかったのも仕方がなかった点もあるかと思います。
問題なのは、「SQLインジェクション」です。アスカの担当者のコメントが記事にも書かれていましたが、
アスカのシステム担当者によれば、SQLインジェクションは「かなり古風な手法」。「HPのセキュリティ面は外注のサービスに一任しており、SQLインジェクションによる攻撃は当然対策されているものだという思い込みがあったため、SQLインジェクションに対する対策の有無は確認したことがなかった」という。
(PRESIDENT Online記事より引用)
業者丸投げのシステム担当者のコメントは、読んでいて、なかなかのものがあります。
アスカの会社案内を見ると、なるほど。プライバシーマークは取っていません。しかし、個人情報保護方針はありましたので、コチラを見てみますと、
委託業者への要件定義(書かれていた気がしませんが・・・)でSQLインジェクション等を書いていたとしても、個社の責任は免れないと思いますので、
チョットソノイイノガレは厳しいのではないでしょうか。
SQLインジェクションをされた(可能性が濃厚な)DBですが、仮登録の応募者情報が漏えいしたとの事なので、恐らくこの画面からSQLインジェクションを受けたのかと思います。
※注:どうでも良い事ですが、こちら(現在の登録ページ)はhttpsでした。
ただ、魚拓サイトでもここのフォームを探しきれませんでしたので、既に脆弱点を改修した様ですので、攻撃の詳細(手がかり)は分かりませんでした。
しかしここまで調べてみて、気になる点がありました。
アスカの登録方式は仮登録→本登録の面談となっているのですが、
漏えいした可能性がある、仮登録者3万人のデータは、何故そのままDB上に保管されていたのでしょうか?
短期間に仮登録者数が3万人・・・という事が考えられなくもありませんが、保育関係でも6万人しか本会員がいません。介護職が仮に同程度在籍していたとしても、20年以上の業務実績の上で積み上げてきた数が12万人程度となる訳ですから、3万人の仮登録者は、少なくても数か月程度の申込データでは無いと思います。
アスカは、1994年に設立。保育士や介護分野への人材派遣に特化し、グループ会社とあわせて、北海道から沖縄まで16の本社や支店を展開している。2019年2月の上毛新聞の報道によれば、保育関連では同社に約6万人が登録している。
(PRESIDENT Online記事より引用)
記事では、保育関係の本登録者が6万人(介護関係は不明)だとすれば、一部消していたにしても、かなり長い間、仮登録者のデータを保管していたと想像されます。
仮にこの想像が合っていたとすれば、長期間(本登録もされずに)保存していた仮登録者のデータがはたして必要だったのか?という疑問がわいてきます。
面接まで進んでいるのなら本登録へ誘導し、仮登録は消されているべき、だと思いますが、恐らく一定期間何らかの目的で本来必要ではない仮登録者のデータを残していたのかな・・・そんな風に、アスカの個人情報管理がなっていた可能性を感じます。(※ここに根拠ありません)
私の専門分野でもあるPCI DSSでは、PANデータ(重要データ)は『必要なければ消した方が良い』と要件解説に書かれています。元々ないものは漏えいしないのですから、当然の事であります。
上記アスカでの運用は、想像でしかありませんが、3万件の仮登録者のデータが業務上の何らかの理由で必要だったのだとすれば、セキュリティ対策をしっかり取った上で保護し、活用すべきだったでしょうし、仮に不要なデータが多く混じっていたのだとすれば、そこ事件の影響を大きくしたポイントの1つだったと反省し、運用を改善すべきかと思います。
SQLインジェクションリスクが自社サービスに残留する事すら気づけなかったアスカには難しかったのかと推察しますが、定期的に不要なデータを削除する、これだけで、もしかすると影響範囲が1万件以下に収まったのではないかな・・・と愚考します。
もう1点忘れてました。
アスカは、1カ月以上も情報流出について周知しなかったことについて、「われわれが大騒ぎをすると、サイバー攻撃をした人たちをかえって喜ばせて、さらに被害が広がってしまう」可能性を考慮したという。しかし、プレス発表などではなくユーザー一人ひとりに連絡することはできたのではないかと問うと、「ある程度こちらの調査が終わった時点で連絡をすることを考えていた」と回答した。
(PRESIDENT Online記事より引用)
PRESIDENT Onlineの記事が出たのが7/13、この記事を書いているのが7/14ですが、少なくても現時点でアスカのHP上には漏えいについての注意喚起、あるいは登録ユーザへの説明が見つかりません。
本日付けの新着募集があるので、ページ更新はしているはずです。すぐに対応しないのはどうかなと思います。
公式リリースはフォレンジック調査が終わってから・・・といった考えがあるのかも知れませんが、記事を読んだ登録ユーザが不安に思う事も考慮し、現時点までの情報を第一報として掲載するなり、コールセンターを設けるなり、メール報告するなり、漏えいした可能性がある登録者へのコミュニケーションをすぐに開始すべきではないでしょうか。
そうした意図は無いものと思いますが、記事が出なかったらサイバー攻撃を受けた事を有耶無耶にして、登録ユーザにも何も伝えずに済まそうとしていた・・・そんな風に外から見ると思えてしまいます。
今後、公式リリースが出されたら(気づけたら)上記の答え合わせが出来ればと思います。
余談ですが、損害賠償額に対して、PRESIDENT Onlineの記事では弁護士の先生は、数万円になる可能性も示唆していますが、そこまでいかないまでも、アスカにとっては経営に影響を与える可能性もありそうです。
「過去に情報流出があったベネッセなど、裁判に至ったケースもある。ベネッセの対応への評価は分かれているが、最低限の周知及び漏洩対象の顧客に金券の交付等が行われた。本件は、職業、つまり収入に直結する介護、保育等に従事する方だと分かってしまうため、情報価値は高い。一人当たりの賠償額は、情報漏洩事件では比較的高い数万円以上になる可能性がある」
アスカの担当者は「補償について、現状ではまだそこまでは考えておりません」と話す。
(PRESIDENT Online記事より引用)
会社案内の資本金の部分を見て、1人当たりの賠償額が高額になると厳しそうだなと感じました。(意図的に積んでないだけで内部留保が多いのかも知れませんが)おそらく低額のQUOカード配っておしまい。という幕引きを考えるのかなと想像します。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
