今年最大のインシデントと言えば海外ではSolarWindsで、現在も被害が大きかった米国を中心に未だ大きな騒ぎとなっていますが、国内では最大侵害件数677万件にも及ぶイベント管理サービスを提供する「Peatix」だったかと思います。そのPeatix社への不正アクセス事件の調査結果が発表されていました。
www.security-next.com
公式発表(Peatix)
キタきつねの所感
第三者調査機関の調査結果が少し驚きでした。最大677万件の個人情報が外部に流出した可能性がある中で、その(APT)手法が「特定できない」という結論に達した様です。
3.判明した事実等
不正引き出しを行った者(以下「攻撃者」といいます。)は、2020年10月16日から17日にかけて、海外IPアドレス経由で、弊社データベースの一部に不正にアクセスし、弊社データベース上に保存されていた最大677万件の上記お客様情報を不正に引き出しました。2020年10月18日以降、不正アクセスは確認されておりません。
なお、第三者調査機関による調査の結果、SQLインジェクションやDoS攻撃といった脆弱性攻撃によるサーバーへの不正侵入又はマルウェアなどによる不正なデータアクセスは確認されませんでしたが、攻撃者の属性及び不正アクセスの具体的方法の詳細については、技術的に特定できないとのことでした。
(公式発表より引用)
しかし私の記事(11/25)における推測原因が間違っていた事が判明しました。SQLインジェクションでは無いと公式に発表されましたので、推測が外れていました。申し訳ありません。
※DarkWebにSQLファイルが公開されており、一番あり得るストーリーがSQLインジェクションだったのですが、証跡を残さない、もっと高度な(APT)攻撃だったのかも知れません。
foxsecurity.hatenablog.com
しかし、インシデントを受けての再発防止策を見ると、「当たっていたかな」と思われる部分もありました。
7.再発防止策
今後も関係法令等の遵守を徹底するとともに、第三者調査機関による助言に基づく再発防止策及び更に安全性を高めるための弊社独自の再発防止策として、技術対策、運用対策及び組織対策の観点から、以下の対策を講じます。
・不正アクセスの侵入経路の遮断(対応済み)
具体的には下記を含む様々なセキュリティ強化施策を実施しました:
-クラウド環境の各種セキュリティ強化
-インフラ及びソフトウェアのモニタリング強化
-不正や異常を検知するための仕組みの追加導入
・運用体制の強化(準備中)
-よりセキュアなネットワークの構築(対応済み)
-セキュリティ技術会社との継続的な協働による追加セキュリティ施策の検討と社内教育の実施-セキュリティを専門領域とする人材の追加採用
・「Peatix(https://peatix.com/)」サービスにおけるセキュリティ強化(準備中)
-従前より採用しているアルゴリズムと比較して、より強固なアルゴリズムを用いたパスワードの暗号化(対応済み)
-アカウント新規登録時におけるメールアドレス認証の導入
-一部機能におけるアカウント多要素認証の必須化
以上の対策を通して、現在はPeatixをご安心してご利用いただける状態であると弊社は考えております。
(公式発表より引用)
※以下、過分に想像が入ります。
「セキュリティを専門領域とする人材の追加採用」これは、前回記事でPeatix社の経営陣に(顔が出ている方々)技術系な方が掲載されてなかったと書いた所と関係していると思います。
恐らくCTO/CSO/CISOが実質的に不在だったのではないでしょうか。だから侵害された、とまでは言い過ぎかと思いますが、上記に書かれている追加対策は技術系役員が居れば既に検討済だった(であるべき)内容かと思います。
インシデントを受けての再発防止策は、誤解を恐れずに言えば、通信簿に先生から「XXXが出来ていませんでした。もう少し頑張りましょう」と書かれた様なものです。
クラウドの各種強化は、ソフトやパッチ最新化などの対応かと思います。モニタリング強化や不正検知の導入は、DBへの不正アクセスを見逃した部分への対策かと思いますが、多くの個人情報を抱える企業として当然導入していてもおかしくない、不正検知システムを入れて無かったのは少し問題だった気もします。
※色々な多層防御のやり方がありますので、不正検知システム以外で対応しようとしていたのかも知れません(Peatix社が実施していた多層防御の中身が分かりませんので、間違っているかも知れませんが、ここを読む限りは「何で入れて無かったのだろう」という思いの方が強いです)
社内教育の実施と、セキュリティ人材の追加採用は、Peatix社が(今までが)人材面では「セキュリティ軽視」あるいは業者任せだった可能性を感じます。
対策の中で特に気になったのが、「より強固なアルゴリズムを用いたパスワードの暗号化」と「一部機能におけるアカウント多要素認証の必須化」です。
Peatix社はインシデントを受けてユーザーパスワードのリセットを行っています。漏えいしたID(メールアドレス)とパスワードは、他のサイトで使い回しをしている可能性も十分考えられます。
その中で、Peatix社のパスワード管理状態が不適切であったなら、他サイトの侵害にそのまま使えてしまう「活きた」認証情報が漏えいしてしまった事にもなるのですが、Security Nextの記事には気になる記載がありました。
また「暗号化されたパスワード」が流出したとしており、パスワードをハッシュ化した文字列と見られるが、ソルトの追加状況など対策状況についてもコメントを避けている。
(Security Next記事より引用)
この記載から想像できるのは、まずソルティング(及びストレッチング)をしてないという事です。その上で、上記の「より強固なアルゴリズム」への変更を考えると、SHA-1かMD5辺りの、レインボーテーブルが既にいくつも存在する、脆弱なハッシュで管理していた可能性を感じます。
www.itmedia.co.jp
他のサイトで、Peatixで漏えいしたIDとパスワード(使い回し)によって別な侵害事件が発生したとしても、第一義的にはパスワードを使い回しするユーザーが悪いのですが、Peatixのパスワード管理にも問題があったと言われてしまう可能性もあります。
参考(徳丸さんOWASP講演資料):いまさら聞けないパスワードの取り扱い方
一部機能におけるアカウント多要素認証の必須化は、おそらく特権ID(の一部)に多要素認証を導入するという事を指しているのかと思います。
「必須化」と書かれている所から考えると、従来は「オプション」でしかなく、IDとパスワード(もしくは認証無しで)で特権が使えたという事だったのだと思いますが、多要素認証の検討が遅いなと感じます。
ここ数年パスワードだけで管理するネットワークやDBへの侵害事件は増えてきています。今年はVPN装置を経由する侵害事件(ランサム被害)が発生したり、侵害の可能性が指摘されたりしていますが、その多くで多要素認証をしてなかった事も原因(再発防止策)の1つとされています。
参考:在宅時代の落とし穴 国内38社がVPNで不正接続被害: 日本経済新聞
そうした中で、Peatix社は、他社の侵害事件を教訓(他山の石)とする体制が出来て無かったのではないでしょうか。
余談です。Security Nextの記事でのツッコミ(疑問点)が素晴らしかったのでご紹介します。
同社は攻撃を受けた日や攻撃元を海外のIPアドレスなどと特定しており、利用者に対して「本件における脆弱点への対処は完了しております」といった説明を行っている。
一方、今回の発表で攻撃手法を特定できなかったとし、不正アクセスへの対応としてアクセス経路の遮断を挙げた。情報が漏洩した原因と対策の関係が不明瞭であり、本誌ではあらためて取材を求め、原因など尋ねたが、「セキュリティの観点から答えられない(同社広報担当)」として回答は得られなかった。
(Security Next記事より引用)
侵害を引き起こした脆弱性が特定できてない状況で、「脆弱点への対処」が完了したとはこれいかに?
Peatix社広報の言う「セキュリティの観点」は「セキュリティ担当が(ほとんど)いない」という同社体制の機密情報の事を示唆している気がしてなりません。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴