Discover Performance

 

 

HPソフトウェア

バックナンバー

アンケートに答えてプレゼントをGetしよう! ※アンケートに答えてくれたお客様の中から抽選で1名の方にHPのインクジェットプリンターが当たります。
HP 評価版ダウンロード方法はこちら
今すぐ登録する

「HP Software Discover Performance」日本語版

出展報告・日本ヒューレット・パッカード創業50周年 IT総合イベント開催

今月は、5月27日に発覚したグローバルデータからの情報流出をセキュリティ関連のトピックとして取り上げます。

5/27に海外渡航者向けのWi-Fi機器レンタルサービスを提供するグローバルデータ(エクスコムグローバル社)から「不正アクセスによるお客様情報流出に関するお知らせとお詫び」というプレスリリースが出されました。これによると、4/23にクレジットカード情報(カード番号、住所、セキュリティコード)の流出が発生して調査を行い、最終的に5/27の発表となったとの事です。この件に関しては、既に様々なメディアで取り上げられていますが

  1. クレジットカードの情報で保存してはいけないセキュリティコードを保存していたなど、実装の問題があったこと。
  2. 情報流出の疑いが発覚したのが4/23であったのにも関わらず、対象ユーザーへの通知に1ヶ月以上掛かっていること。
  3. 実施した対応策が悪用された脆弱性とずれていること。

など、様々な問題があったことが指摘されています。今回は、この件を「インシデント・レスポンス」の観点から見てみましょう。

インシデント・レスポンスとは

IPAのネットワークセキュリティ関連用語集によると、「インシデント・レスポンス」とは「インシデントの発生に際して、それを検知し、関係組織と連絡をとり、被害の拡大を防ぐと共に、再発を防止するための原因究明と改善を行う、一連の組織的活動をいう。」(参照ページ 
となっています。「インシデント」とは情報セキュリティリスクが発現した事象を言います。今回のケースでは、情報漏えいがインシデントになります。

情報漏えいの対応に関しては、IPAから「情報漏えい発生時の対応ポイント集」というわかりやすい説明文書が発行されていますので、こちらを参考にして見ましょう。

今回の対応の時系列

まず、今回の対応を時系列に並べて見ます。
4/23   17:00   情報流出の疑いが発覚。事故対策委員会の設置
22:00     該当サイトでの申し込みの停止
データベースサーバー内のクレジットカード情報の削除
オンラインのクレジットカード決済の停止
4/24       PCF(Payment Card Forensics株式会社: クレジットカードに関わる情報漏洩や不正調査等を行う会社)への調査依頼の連絡
4/26       PCFへの調査の委託
4/27       流出可能性があるクレジットカード番号を決済代行会社に提供しモニタリングを依頼。その後、クレジットカード会社各社に連絡
4/30   当該クレジットカードによる取引のモニタリングを依頼し順次実施
5/2     サーバーのシステム変更
5/15   警察署、及び所轄官庁への第一報
5/21     PCFからエクスコムグローバルへの最終報告
5/27     プレスリリース及び、情報流出したユーザーへのメール通知
これが情報流出の疑いが発覚してからプレスリリースまでの時系列になります。



IPA資料との比較

これらの時系列を、前出のIPAの「情報漏えい発生時の対応ポイント集」と比較してみましょう。

  1. 発見および報告
  2. 初動対応
  3. 調査
  4. 通知・報告・公表等
  5. 抑制措置と復旧
  6. 事後対応

のそれぞれのステージで比較してみます。

まず、(1)の発見及び報告が4/23に行われた後、すぐに(2)の初動対応フェーズに移り初動対応を行っています。不正アクセスを受けた機器(サイト)のネットワークからの切り離しやサービスの停止は4/23の時点で行われているので、そこはスムーズに行われています。
ただし、4/23の時点で「データベースサーバー内のクレジットカード情報の削除」ということで、データベースサーバー内のレコードを削除してしまっています。これは(3)の調査フェーズで必要な「保全」というものを行っていない可能性があります。通常、不正アクセスの場合には、機器に残された記録が重要な証拠となるため変更されないよう証拠保全の措置をとります。障害調査を依頼されたPCFのサイトのトップページにも「事故発生時には、事実確認や被害範囲の特定を行うために、直ちに証拠保全を行う」とありますが、ここの部分が行われていなかったようです(もちろん、プレスリリースに詳しく書いていないが、証拠保全が行われていたという可能性も存在します)。

また、(2)の初動対応の一つとして、IPAのポイント集にも「クレジットカードやアカウント情報が漏えいした場合は、カード会社への通知やアカウント停止などの緊急処置を行います。」とあります。しかし、時系列をみると、4/27にクレジットカード会社に連絡を行い、4/30から当該クレジットカードによる取引のモニタリングを実施していますが、4/23-4/30までの取引に対してのフォローはどうなっているのかと思われてしまいます。

次に(4)の通知・報告・公表等ですが、警察署、及び所轄官庁への“第一報”が5/15と、調査を開始してから2週間以上経過した段階での第一報となっています。ここの報告も、もう少し早く報告を行ったほうが良かったのではないかと思われます。

対象ユーザーへの通知は更に遅れて5/27の報告となっています。最終的に1ヶ月以上、対象ユーザーは漏洩の事実を知らなかったわけです。前述のように取引のモニタリングを行った時期にも1週間程度のタイムラグが発生しているため、一週間クレジットカードが不正に利用される可能性があったユーザーに、1ヶ月以上連絡が行われなかったことになります。

また、(5)の抑制措置と復旧ですが、SQLインジェクションというアプリレイヤの攻撃だったにも関わらず、対処が「ファイアーウォールに加え侵入防御及び検知するハードウェアを導入するとともに、データベースサーバーに接続するためのID及びパスワードの全ての変更をしております。」という、違うレイヤの対処を行っています。これでは、今回の問題の解決になっていません。

考察

今回の問題をまとめると、

- 証拠保全の不足

- 警察、所轄への通知の遅れ

- 対応ユーザーへの通知の遅れ

- 抑制措置の不足

があげられます。 特に、今回、問題が大きくなってしまった主な原因は、事件の発生から情報公開までの時間がかかりすぎたということになります。 たとえば、2011年にソニーの「PlayStation Network」で個人情報が流出した事件では、情報公開までに1週間以上かかった結果、欧米では訴訟が発生しています。それに比べても、更に長期間の秘匿となってしまっています。 ユーザー周知までに時間がかかった理由は「経営判断」とコメントされているようです。

特に、GWの大型連休というかき入れ時にタイミングが重なってしまったため、経営判断が優先されたと思われます。しかし、企業のイメージや評判にかなりの影響が出てくることを考えると、もう少し早めの公表が良かったのではないかと思われます。

IPA資料でも情報漏えいに関する公表の考え方として、 「透明性・開示の原則から、発生した情報漏えいについてなるべく早く公表を行うことを考えます。個人情報が漏えいした場合は、本人にその事実を知らせお詫びするとともに、詐欺や迷惑行為などの被害にあわないよう注意喚起します。」
とあります。今回のケースではセキュリティコードを含めた完全な情報が漏れているため、その点を加味した判断をするべきだったと考えられます。