Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

東建コーポレーション子会社への不正アクセス

東建グループ(東建含む)が不正アクセスを受け顧客情報を最大65.7万件、外部に流出した可能性があると発表しました。

www.nikkei.com

 

公式発表

1.概要
令和2年10月20日の社内調査により、弊社グループで使用するホームページから、各種ユーザー様の情報を保管していたサーバーに第三者による不正アクセスを受けた事実が発覚し、その後の調査で最大657,096件の情報が外部流出した可能性があることが判明致しました。なお、不正アクセスされた該当ホームページはすでに閉鎖しており、第三者機関からの安全性の確認をもって再開する予定です。
2.流出情報について
不正アクセスにより流出した個人情報は、別紙1に記載のとおりです。平成12年から令和2年9月までに、対象サイトにお問合せ、ユーザー登録、各種キャンペーンに応募されたユーザー様等の、お問合せ、ユーザー登録、各種キャンペーンに応募されたユーザー様情報、メールアドレス、氏名、住所、電話番号、パスワード、性別、生年月日等です。
マイナンバーやクレジットカード番号などの信用情報は未登録のため、流出項目に含まれておりません。
3.原因
弊社グループのホームページから、各種ユーザー様の情報を保管していたサーバー三者による不正アクセスを受けたことが原因となります。

(公式発表より引用)

 

キタきつねの所感

日経の記事を読んで、子会社のホームページが不正アクセスによって約65.7万件の顧客情報を漏えいしたのかと思ったのですが、公式発表を見ると少し違う様です。

侵害を受けた対象が別紙にまとまっているのですが、東建本体のウェブサイトからも(一部)情報が漏えいしています。

f:id:foxcafelate:20201118055211p:plain

 

公式発表や、日経新聞の記事の書き方から考えると、「子会社のホームページ」経由で、「各種ユーザー様の情報を保管していたサーバー」つまり東建グループのDBサーバーに不正アクセスを受けたという事なのかと思われます。

不動産仲介の東建コーポレーション(名古屋市)は17日、同社子会社のホームページが第三者による不正アクセスを受け、顧客の住所や生年月日などの個人情報が最大約65万7千件流出した可能性があると発表した。

日経新聞記事より引用)

 

公式発表にも、日経記事にもそれらしい事は一切書かれてませんが、SQLインジェクション等のインジェクション攻撃を受けた可能性が高いのではないでしょうか。

どこが侵害を受けたのか?が気になったのですが、そのヒントと思われる記載が日経の記事にありました。

同社によると、2000年から今年9月にかけ、子会社で厨房設備などを手掛けるナスラック(同市)の料理レシピサイトを利用する際に登録した顧客の氏名、住所、電話番号、生年月日などが流出したという。同サイトに大量のアクセスがあったことから、社内調査を進めていた。

日経新聞記事より引用)

 

現在閉鎖中のナスラック Kitchenのサイトが見つかりました。データ侵害を受けた際に告知分として書かれる事が多い「メンテナンス中」の記載が残っていますので、このサイトが侵害ルート(の1つ)となったと考えて間違い無い様です。

f:id:foxcafelate:20201118060105p:plain

 

閉鎖中のサイトを魚拓サイトで確認してみます。料理レシピなどが人気のコンテンツで、会員サイトでもあった様です。しかし今回は会員サイトへの不正ログイン(パスワードリスト攻撃等)の事件ではありませんので、他に怪しい所が無いかを探していきます。

f:id:foxcafelate:20201118060523p:plain

 

個人的に怪しいと感じたのが、トップページ2か所に設置された検索窓(フリーワード検索)です。ここからSQLインジェクション攻撃が出来てしまった(サニタイズ対策が不十分だった)可能性を感じました。

f:id:foxcafelate:20201118060745p:plain

 

f:id:foxcafelate:20201118060900p:plain

 

この推測が合っているのだとすれば、ナスラックキッチン(東建子会社HP)としては、Webサイトリリース前の脆弱性検査に問題があったという事だと思います。Web制作会社を使っているのであれば、リリース条件として例えばOWASP TOP10を含む脆弱性検査を必須要件にする等、多くのサイトが実施しているチェックが不足していたのかと思います。

 

また、東建側にも問題があると思います。子会社のサイトが保有する情報資産(マイレシピノート会員、メルマガ登録者等)だけでなく、他の東建グループの情報資産に影響範囲が拡大しているので、恐らくセグメンテーション管理がしっかりされてなかったのではないでしょうか。

東建グループのデータベース設計がどうなっていたか分かりませんが、グループサイトからのアクセスを正とする性善説運用だったのだとすれば、攻撃者は「一番弱い鎖」(脆弱点)を攻めてくる事に対して、もう少し注意を払うべきだったかと思います。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

不動産屋の建物のイラスト

 

更新履歴

  • 2020年11月18日 AM