wakatonoの戯れメモ

はてなダイアリーから引っ越してきました。

不正アクセスによるお客様情報流出に関するお知らせとお詫びを読んで…

Security

名義とカード番号と有効期限とセキュリティコードと住所…。
ものすごい設計だ…何をどうしたらここまで豪快に漏れるのか….
つうか,近年稀に見る大当たりじゃねえか!助けて!!デッカード!!!

なんでこの件の被害者の一人になってしまったのか?〜オレの場合

Security

ここ最近,日本以外の場所に行くときは,基本はローミング(通話の場合)か現地でSIMを調達する(データ通信の場合)かという形で自分のインフラを準備しています.
例えば台湾などは,この運用で基本うまくいく.
しかし,この運用ではうまくいかない土地があるわけです.例をあげるとインドがこのパターンに当てはまります.オレはインドはバンガロールに行ったわけですが,

  • インドでのSIM入手は,いろいろと面倒(基本)
  • 利用可能になったのが帰国日という話も聞く(トラブル事例)
  • バンガロールの空港にSIMを扱ってる売店がない(切実)
  • バンコクスワンナプーム国際空港)でのトランジットで最長6時間程度の待ちが発生する(時間が…)

ということと,海外でモバイルWiFiアクセスポイントを使ったことがなかったということで,エクスコムグローバル株式会社(以下XCOMGLOBAL)のサービスであるグローバルデータを利用し,タイで使えるアクセスポイントとインドで使えるアクセスポイントを1つずつ借りる判断をしたわけです.同時に利用しないアクセスポイント2つを持っておくことで,予備バッテリーを借りない運用になりました(WiFiアクセスポイントが2台とも同じ機種だったので,結果としてスペアバッテリを借りる形になった).
でも,この甘い判断が後でアイタタタなことになるのにつながっていくわけです….

発表内容の脇の甘さ(0)〜まずは情報の整理から

Security

まず,これを一連のインシデントレスポンスとして見た場合,かなりダメな部類に入る.
まず,時系列に並べられる事実のみを以下に抜き出してみよう.

  1. 4/23 17:00 決済代行会社からカード情報の流出懸念に関する連絡
  2. 4/23 22:00 DBサーバからクレジットカード情報削除
  3. 4/23 23:00 クレジットカードを預からない運用に切り替え
  4. 4/24 Payment Card Forensics株式会社(以下PCF)に調査依頼の連絡
  5. 4/26 PCF株式会社による調査開始&脆弱性調査
  6. 5/21 最終報告書提出(PCFからXCOMGLOBALへ)
  7. 5/27 おわび公表

発表内容の脇の甘さ(1)〜「カード情報の流出懸念に関する連絡≒不正利用の疑義」と考え,止血を行うべき

Security

しょっぱなに「カード情報の流出懸念」とあるが,この時点ではすでにカード情報は何らかの形で抜かれ,利用された(もしくはされようとした)と考えるのが妥当である.
もちろん,カード情報1つだけが使われたところで,いきなりXCOMGLOBAL社から漏れだしたなどという確証はないため,不正利用の疑義のある決済を確認の上であたりをつける作業が入ると考えるのが妥当だろう(この作業を経ずにいきなりXCOMGLOBAL社に連絡をつけるとも思えない.もしいきなりXCOMGLOBAL社に連絡が行ったのであれば,連絡者は犯人に近い立場か犯人から情報を送りつけられた人,そうでなければ超能力者w).

発表内容の脇の甘さ(2)〜DBサーバオフラインはまだしも,情報の保全を行ってる?

Security

オレは,インシデント発生したサーバ類は,「発覚時の状態を極力保つ」という原則があると思っていたのだが,どうもXCOMGLOBAL社の常識は違ったらしい.4/23 22:00に,DBサーバからレコード類を全部削除したとのこと.
えーと…保全は?
ちなみにPCFのWebサイトに「事故発生時の注意点」が書かれている.おそらく今回のXCOMGLOBAL社の対応は,最初の1行「対象のハードウェアを特定し,事故対策責任者の管理下においてください.但し,不用意にデータにはアクセスしないでください」というところからすでに違えている.

発表内容の脇の甘さ(3)〜運用切り替えはいいが,情報を流出させられた懸念のある人へのフォローは?

Security

「4/23 23:00 クレジットカードを預からない運用に切り替え」とあるが,この時点ですでに利用した(=カード情報を流出させられた利用者)に対するフォローアップの話はなし.さらに言うならば,実施対応策に以下のような内容があるが,これで本当に十分か?というと,不十分と言わざるを得ない.


お客様に金銭的被害が生じないよう4月27日、流出可能性があるクレジットカード番号を決済代行会社に提供しモニタリングを依頼しております。その後、決済代行会社経由でクレジットカード会社各社に連絡していただいており、4月30日からの当該クレジットカードによる取引のモニタリングを依頼し順次実施しております。
というのも,

  • 疑義が生じたのは4/23
  • カード会社各社に連絡を行ったのは4/27
  • モニタリングを依頼したのは4/30からの取引.

というように,疑義が生じた日より前のモニタリングや,4/30より前のモニタリング(決済情報の確認)はどうなったのか?という疑問を生じさせる結果となっているからだ.本当ならば,4/23の疑義が生じた時点でカード会社各社にその旨を連絡するとともに,専門家の支援を仰ぐなどしたほうがよかったのではないか?とも感じさせる.

発表内容の脇の甘さ(4)〜最終報告書はいいけど,なんでここまで時間かかった?で,なんで届出に時間かかった?&ユーザへのおわびは一番後回し?

Security

5月15日に警察に相談&所轄官庁への第一報とあるけど,もうちょい早く出来なかったのか?という疑念が出てくる.
そして,実際に被害を被る可能性のあるユーザに対しては,実際の流出に関する疑義が提示されてから1ヶ月以上放っておかれるというていたらく.これはないわ.

発表内容の脇の甘さ(5)〜漏れた情報に「あってはならないセキュリティコード」&期間…

Security
  • 漏れた情報の特性:平成23年3月7日〜平成25年4月23日に申込のあった方々のもの
  • 漏れた情報:名義とカード番号と有効期限とセキュリティコードと住所

セキュリティコードがなんで保存され,漏洩したのか理解に苦しむ(というか,あってはならない).
さらに,漏れた情報のうち最新のものは,平成25年4月23日に保存されたもの.疑義が提示されたのも同じ日.ということは,平成25年4月23日より前から情報は漏洩しており,平成25年4月23日まで継続して攻撃が行われていたということを間接的に示唆するのではないか.で,疑義を提示されてDBサーバをオフラインにされたから,攻撃者との間の通信も自然と止まったのではないか(それでまだ攻撃が続いてたら,それはそれでヤバイ).

発表内容の脇の甘さ(6)〜対策の脇の甘さ

Security

攻撃内容が「SQLインジェクションによる攻撃」とあるのに,「データベースサーバーに接続するためのID及びパスワードの全ての変更をしております」という内容がいかにもこっけいである.
もちろん,他の侵入経路を潰すという点では有効なのだが,SQLインジェクションは,DBMSを利用できるプログラムがDBMSを制御するために送付する電文を,攻撃者の都合のよいものにする.DBMSを利用できるプログラムは,DBMSアクセスのための正しいクレデンシャルを保持していると考えるのが自然である.いくらIDとパスワードを変更しても,プログラム側でアクセスのための情報(IDとパスワード)を持っている限りは,SQLインジェクションを防ぐためには屁の突っ張りにもならない.
1つ幸いなのは,PFCによる脆弱性試験の結果をうけた改修が行われているという点だが,はたしてこの改修が適切なものなのかは,大いに疑問が残る.

発表内容の脇の甘さ(7)〜総合的な対応のまずさ

Security

今回のXCOMGLOBALの件は,適切な対応を行うための機能が決定的に欠けてたのではないか?と思わせるような(事実から行える推測も含む)事実の塊であった.
完全に云々というわけにはいかないだろうが,少なくともリスクマネジメント系の要員がいれば,ここまで後手後手かつ誤った初動を取ることもなかったのではないか?と感じる.
自分がこの種のインシデントに巻き込まれたらと思うとゾッとしないが,
少なくとも初動を間違えるとその後の解析に時間を要したり,そもそも必要な情報が揃わないなどということを客観的に示してくれた,貴重な事例といえよう*1
「ヤバイ」と思ったら即専門家に相談できるように備えるようにしてほしい….

*1:まさか自分が直撃食らうとは思わなかったが…

ケータイWatchさんの記事より…

Security

これはすごい.
確かに「売上を落とさない」という判断は,経営判断の1つだ.でもこの会社,明らかに信用失墜してるよね.「売上落とさず信用落とす」とでもいうのか?


ユーザー周知までに時間がかかった理由を「経営判断」とコメントしている。4月後半からは5月前半は海外渡航客の多い大型連休があり、エクスコムグローバルとしてもかき入れ時だ。同社は顧客情報の漏洩を明らかにすることなく、クレジットカード決済を停止し、銀行振り込みと空港窓口での対面決済で対応したことになる。同社では「どれほどの被害状況なのか、流出の範囲を特定するまでに時間がかかった」と話している。
「流出の範囲を特定する」以前に,「情報流出の懸念があるお客様に対するお詫びと注意喚起」が先だろ.どこまで間違えてるのよ….
穿った見方をするならば,「かき入れ時に流れるネガティブイメージ&インシデント対応によるサービス縮退で売上落とすよりは,後できっちり情報公開とおわび文書出しておけばいいだろ.おわびも自社のサービスクーポンで賄えば,キャッシュアウトもしないし」という思考になったんじゃないか?と見えなくもない.
実はインシデントに関する連絡が来た時に頭をよぎったのは「CardSystemsのインシデント」「サウンドハウスのインシデント」の2つ.サウンドハウスの場合は,「3月21日に問題が発覚していたのに、情報開示はなぜ4月3日になったのか」というツッコミを受けて,やりとりを全公開したが,はたしてXCOMGLOBALの場合はこのようなことを行うだろうか?

サウンドハウスの場合は2週間弱で情報公開に至ったわけで,さらに2週間ほどかけて,そこに至るまでのやりとりを全部公開した.はたして今回のケースはどのようになるのだろうか….

スゲー独自判断だ…

Security

@d-mateさんのTweet*1より.似たような話は質問してたりするが…
以下はTweetの内容.


話題沸騰のエクスコムグローバルにやられた。
コールセンターで確認できたのは「セキュリティコードのサーバ保存は、カード会社の許可なく自社判断でやっていました」とのこと。(続く)
これ,相当ヤバい.
詳細は上野宣さんの日記(2013年5月28日分))に譲るけど,そもそも保存しちゃダメというものを保存していたわけで.

永江一石さんの日記(2013年5月28日分)によると,不正利用された結果,物品を詐取された場合には,ショップがかぶるとのことで,ショップが見破れないのが悪いとの論理(まぁ,そもそも名前とか送り先とかを見て不自然と思えという感じなのかもですが)らしいが,この流出の結果行われた不正取引の損害もやっぱりショップが(おとなしく)被るとは考えづらい.

また,上記日記によると,この1〜2日でオンラインショッピングにおける窃取カード情報の不正利用が急増してるとのことで,セキュリティコードも含めたクレジットカード情報漏えいの事実公表と相関があることはなんとなしに連想できる.

あくまで個人的な意見ではあるが,「本来保存してはならないものを保存しておいて,それが漏れたことにより,見破りにくい(もしくは見破れない)不正取引の成立が増えた」責任をXCOMGLOBAL社は取るべきであろうと考えたりする.やっちゃいけないことをやった結果起きてしまったことであり,そこに至るまでの経緯は明らかにされなければならないのが通常.
…白黒つけてほしい.

*1:https://twitter.com/d_mate/status/339294034948407297