Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Webキャンペーンの応募データを保管する必要はあるのか?

考えてみた。 不正アクセス事件

中日新聞のキャンペーン応募Webページを運営受託している会社が不正アクセスを受け、14.3万件の個人情報削除されただけでなく、外部に漏えいした可能性があると発表されていました。

mainichi.jp

 中日新聞社は24日、業務委託をしている企業が不正アクセスされ、同社のキャンペーンに応募した人の名前や住所、電話番号などの個人情報約14万3000件が流出した可能性があると発表した。情報が悪用されたかは不明という。

 同社によると、流出した恐れがあるのは「東京ほっとフォトコンテスト」(2013~19年)や「中日新聞ほっとWebキャンペーン」(16~19年)など09~19年にあった七つのウェブキャンペーンに応募した人の個人情報。応募ページの運営を委託している「ランドマークス」(東京都港区)から23日夜、「サーバーに不正アクセスがあり、保管されていた個人情報が削除された」と連絡があり、発覚した。

 

公式発表

お客さま情報の流出の可能性に関するお知らせとお詫び (魚拓

 

キタきつねの所感

新聞社と言えば、社会の木鐸として、普段からサイバーインシデントを報じている事もありますが、系列販売店まで含めれば膨大の個人情報を取扱っている事もあり、一般企業以上にセキュリティ対策を講じているのかと思っていましたが、そうでも無いのかも知れません。

特に今回の様な”周辺”サービスでは、例えば昨年11月に報知新聞も不正アクセス被害を発表していますが、委託先企業の”監督”に問題があったという構図は今回と同様です。

「羽生結弦2021カスタマイズカレンダー」もEC-CUBE - Fox on Security

 

侵害を受けた可能性があるデータは、約14.3万件と発表されていますが、その内訳は過去の7キャンペーンの累計となっています。

2.流出した可能性のある情報の内容
流出した恐れのあるキャンペーンは下記の通りです。いずれも Web のキャンペーン応募ページから応募された方の個人情報(氏名、住所、性別、年代、新聞購読歴、電話番号、メールアドレス)です。

東京新聞2009 年〜2012 年の「ほっとフォト・コラム」
     2011 年〜2012 年の「東京ほっと大検定」
     2013 年〜2019 年の「東京ほっとフォトコンテスト」
     2014 年〜2017 年の「東京ほっと Web ワクワクプレゼントキャンペーン」
中日新聞2015 年の「中日新聞懸賞キャンペーン」
     2016 年〜2019 年の「中日新聞ほっと Web キャンペーン」
北陸中日新聞2016 年の「北陸ほっとフォトコンテスト」

(公式発表より引用)

 

去年はコロナ禍を受けて「ほっとフォトコンテスト」等が中止になった影響があり、2019年までのデータとなっている事が伺えます。

 

侵害を受けたサイトの中で、「東京ほっとフォトコンテスト2019」のサイトが魚拓サイトにあったので少し確認してみたのですが、

 

f:id:foxcafelate:20210625075448p:plain

 

最も気になったのが、「http」であった事です。

f:id:foxcafelate:20210625075604j:plain

 

常時SSLにしてない事は偶にあるので、応募フォーム側が証明書対応しているのかなと、見てみると、魚拓データは無かったのですが、リンクしているURLは・・・

 

 

やはり「http」だった様です。

 

f:id:foxcafelate:20210625075904p:plain

侵害を受けた原因がココであると特定できる訳でもありませんが、企業が個人情報の取扱いについてどう考えているのか、それを外から(一般ユーザとして)伺い知れる部分の1つが、ココですので、やはり「セキュリティ意識」に問題がありインシデントが発生するサイトには相応の潜在的な脆弱点が存在するそんな風に感じました。

 

今回侵害を受けたランドマークスは、毎日新聞の記事で港区にあると書かれていましたので、おそらくコチラだと思います。そのプライバシーポリシーを見ると、、、写真が何故かマレーシアの「ペトロナスツインタワーであるのは置いておくとして、正直ほとんど書かれていません

PMやISMS取得の企業という訳でも無い様なので、この程度の記述であっても問題は無いとも言えますが、個人情報を漏えいインシデントが発生したという視点で見ると、中身が伴って無かったのかと推測します。

f:id:foxcafelate:20210625093657p:plain

 

今回のインシデント、私は、セキュリティ対策にもう少しウェイトを置いていれば、発生しなかった可能性を感じます。

 

「過去のキャンペーンのデータをサーバに置いておく必要性」について、公式発表には何も触れられていませんが、キャンペーンの内訳を見ると、全て2019年までに終了しているキャンペーンです。

侵害を受けたランドマークスのサーバがどこにあったのは分かりませんが、不正アクセスを受ける所に置いていた事が問題な気がします。バックアップという考え方であれば、メディア等を使ったオフラインバックアップになっていれば、外部からの不正アクセスのリスクは極小化できたはずです。

頻繁に応募データを使う理由があれば別かと思いますが、そうでなければ(不要であれば)データはオンラインに置かない、非常に重要な考え方です。

もし必要があってデータをオンライン上に置いておくのだとしても、アクセス制限や、認証保護されたHDD/SSDUSBメモリ)等を利用していれば、恐らく防げたのではないかと想像します。

 

上記は委託先企業側の問題ではありますが、当然の事ながら依頼元(中日新聞社)には委託先企業に対する監督責任がありますので、中日新聞社側が(セキュリティの)監督責任を果たしていなかったと、後々評価されるのではないかと思います。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 プレゼントを楽しみにしている子供たちのイラスト

 

更新履歴

  • 2021年6月25日 AM(予約投稿)