Juspayのデータ侵害 - Fox on Security

インドでAmazon等の主要なECサイトへ決済代行サービスを提供しているJuspayがデータ侵害を受け、Darkwebで顧客情報が販売されていると報じられていました。

最近のインド最大のデータ漏えいと思われるものの中で、影響を受けたユーザー数の観点から、10人のCrカード所有者のデータがダークウェブで漏えいしています。

漏洩したデータは、データダンプの形式であり、バンガロールに本社を置くモバイル決済ソリューション会社Juspayの侵害されたサーバーを介して漏洩したようです。

Inc42がアクセスしたリークされたデータベースのスクリーンショットは、機密情報が含まれていることを示しています。これには、ユーザーのカードブランド（VISA / Mastercard）、カードの有効期限、カードの下4桁、マスクされたカード番号、カードの種類（クレジット/デビット）、カードの名前、カードの指紋、カードのISINが含まれます。、顧客IDと販売アカウントID、その他いくつかの詳細。リークされたユーザーレコードの総数（10 Cr）のサブセットであるJuspayが認めたように、合計で、支払いカードに関連する16を超えるフィールドのデータが少なくとも2Crユーザーに対してリークされました。

（inc42記事より引用）※機械翻訳

公式発表

・Your Security, Our First Concern: Customer transaction-related data is secure

キタきつねの所感

インドの支払い処理会社（決済代行会社）への侵害事件という事で、この記事が気になりました。

カード情報と個人情報の一部（発行銀行の名前、有効期限、マスクされたクレジット/デビットカード番号、名前、顧客ID、およびマーチャントアカウントID、電子メール、電話番号）が漏えいしたと報じられていますが、機密性の高いデータまでは影響範囲に入って無い様です。

顧客の完全なカード番号、注文情報、カードPIN、またはパスワードはすべて安全です。侵害されたデータには、トランザクションまたは注文情報は含まれていません。

（公式発表より引用）※機械翻訳

別な関連記事を読んでいて、Jaspayのスポークスマンが（初報では1億件が侵害を受けた可能性があると報じられていた事に対してだと思いますが）『350万人の顧客データしか侵害されていない』とコメントしている所に、インドと日本の人口差を改めて感じました。

この2020年8月に発生したサイバー攻撃を、公式発表によるとJaspay側はすぐ検知して攻撃を止めたにも関わらず、クレジット＆デビットカード保有者のデータダンプ（最大3500万人との一部報道もあります）がDarkWebで非公開の金額で販売されている様です。

尚、Jaspayのスポークスマンは悪名名高い「ShinyHunters」によるものと判断している様です。過去のインシデント参考：ShinyHunters Offers Stolen Data on Dark Web

公式発表を見ると、どうやらPCI DSSの環境（CDE）ではない、隔離されたストレージシステムの１つが攻撃を受けた様で、漏えいしたデータの中には機密情報（PANやPIN）が含まれていなかったのはこの為だった様です。

しかし、セキュリティが（比較的）しっかりとしている（と考えられる）決済代行会社がどうして攻撃を受けてしまったのか？という部分が非常に気になります。

公式発表では直接的には「リサイクルされていないアクセスが侵害された原因」程度にしか書いてないのですが、対策部分を見ると、その内容が伺えました。

システムを保護するためにどのような行動を取りましたか？
・マーチャントパートナーと協力して、APIキーを更新し、古いキーを無効にしました。その後、古いキーが安全であることが確認されました。
・社内のすべてのツールに2要素認証を適用
アクセスキーベースの自動化から離れました。より安全な代替手段として、IAMロールベースの一時的なセキュリティ認証情報を使用する。
・システム内の古い認証情報をすべてリサイクルし、厳格なキーローテーションポリシーを設定しました。
・さまざまな内部システムのアクセス制御プロトコルをさらに強化し、リソースアクセスを制限しました。
・私たちは脅威インテリジェンスの専門家と協力し、強化された脅威監視ツールに投資してきました。

（公式発表より引用）※機械翻訳