Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

買い物情報の盗み見でもセキュリティインシデント

考えてみた。 海外事件 不正アクセス事件

米国配達代行サービス大手のinstacardサードパーティ従業員の内部不正を発表していました。

www.infosecurity-magazine.com

 

Instacartは、サードパーティベンダーの従業員2人が買い物客の情報を閲覧したというセキュリティインシデントを報告しています。同社は、これらの個人が「サポートエージェントとしての役割で必要な数よりも多くの買い物客のプロファイルをレビューした」と指摘しました。

表示される可能性のある情報には、顧客名、電子メールアドレス、電話番号、運転免許証番号、運転免許証のサムネイル画像などがあります。

(中略)

Instacartは、影響を受けた2180人の買い物客に、インシデントと実行された予防策を通知するために電子メールを送りました。また、これらの買い物客に2年間の無料の信用監視と保護を提供しています。

 (Infosecurity Magazine記事より引用)※機械翻訳

 

公式発表

 

 

キタきつねの所感

インスタカートは、アプリを介して食料品等を即日配送してくれるサービスを提供しています。ネットスーパーとは違い、個人のショッパーが配達するのでビジネスモデルとしてはUberEATSの買い物版といった所でしょうか。今やウォールマートも提携している、ユニコーン企業です。

 

参考:「インスタカート Instacart」 って何?Whole Foodsでみつけた新サービス - Petite New York

 

Instacartは外部サポートベンダーのスタッフ2名が顧客情報に必要範囲を超えてアクセスしたとして、インシデント発表しました。

最大影響範囲は2,180人の買い物客に及ぶ可能性がある様です。

 

この記事を最初に読んで感じたのが、データはデジタル的には流出してないにも関わらず、「インシデント(事故)」になるのか、という事です。

食料品の配達と集荷の会社は、法医学分析会社との徹底的な調査の結果、「買い物客のデータは一切保存、ダウンロード、デジタルコピーされていないと結論付けた」と述べています。

 (Infosecurity Magazine記事より引用)※機械翻訳

 

定期調査の一環でこのインシデントの兆候を見つけた様ですが、すぐにデジタルフォレンジック調査会社を確保している事から考えると、Instacart側に相当の危機感があったと考えられます。

サポートプロトコルの継続的なレビューの一環として、サポートしているサードパーティのサポートベンダーが保持している2人の従業員が、サポートエージェントとしての役割で必要だったよりも多くの買い物客プロファイルをレビューした可能性があると判断しました。この矛盾を発見した直後に、私たちは問題を迅速に調査するための主要な法医学分析会社をすぐに保持しました。

(公式発表より引用)※機械翻訳

 

Instacartは7月にDarkWebの犯罪者マーケットで27.8万件のアカウント情報(名前、配送先住所、カード番号下4桁、注文履歴等)が漏えいしたばかりなので、セキュリティ警戒態勢が上がっていた所で、この事件を検知したのかも知れません。

www.buzzfeednews.com

 

結果から見ると、外部スタッフの度を越えた不正個人情報閲覧という内容で終わっています。多くの日本企業では、このレベルの内部不正はインシデントとして発表せずに終わらせているのではないでしょうか。

 

しかし、Instacartは、事件を受けて以下の対応をすぐに取っています。

まず、すぐにサードパーティのサポートベンダーと協力して、2人の従業員がInstacartのために再び働くことがないようにしました。第2に、このサードパーティのサポート拠点での作業を一時停止し、それ以来、ローカルでの運用を無期限に中止しました。

(公式発表より引用)※機械翻訳

 

上記だけだと説明不足でうまく読みとれないのですが、恐らくサードパーティのサポート拠点(コールセンター)以外にも、コロナ禍を受けてローカル拠点(例えばテレワークサポート)があったのだと思います。

監視の目が行き届かないローカル拠点業務をInstacart業務では中止し、監視がより厳しいサポート拠点のみの運用に切り替えた、そんな対策内容だと推測します。

 

こうした対応に、Instacartの2度目の事故は起こさせないという強い意志がありそうです。そして(ここまでの対応が必要かは別にして)定期監査が改めて重要だと感じました。

 

 

余談です。インシデントが近々あったからInstacartは強い対応を取ったと、リリース上からは読み取れるのですが、本当にそれだけなのか・・・と考えると、個人的には少し疑問です。(以下過分に想像を含みます)

 

改めて公式発表を見てみると、デジタルフォレンジック調査の結果として漏えいは無い、という記述なのですが、内部犯行の場合はもう1つ可能性が残っています

食料品の配達と集荷の会社は、法医学分析会社との徹底的な調査の結果、「買い物客のデータは一切保存、ダウンロード、デジタルコピーされていないと結論付けた」と述べています。

 (Infosecurity Magazine記事より引用)※機械翻訳

 

それが、サポートスタッフの頭の中です。Instacartの強い対応を考えると、インシデントの予兆としてSNSで不正な書き込みを発見した、あるいは顧客からの情報漏えいクレームを受けた、という可能性も捨てきれません。

 

もしローカル拠点が”自宅”だったのだとすれば、知人や有名人の買い物情報を不正閲覧して、その内容を例えばSNS投稿や友達に話した、そんな可能性を感じました。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

運転代行のイラスト 

 

更新履歴

  • 2020年8月25日 AM(予約投稿)