つい先日、大規模な個人情報漏洩事件が明らかにされました。
事件を起こしたのは株式会社ザ・キッスという会社で、そこが運営する通販サイト「THE KISS ONLINE SHOP」より、約20万件の個人情報が漏洩したというものです。公式発表もされており、「不正アクセスによる情報漏洩に関するお知らせとお詫び」から見ることが出来ます。
その公式発表によると…
- 氏名、クレジットカード番号、有効期限、セキュリティコードが抜かれた … 延べ537件
- ユーザーID、パスワード(暗号化された)、氏名、住所、電話番号、メールアドレス、生年月日の内、お客様がご登録された情報が抜かれた … 最大199,709件
となっています。この公式発表を元に徳丸浩氏が以下のツイートをしています。
『2016年1月16日から2016年3月2日までに本サイトでクレジットカードをご利用いただいたお客様』<またしてもフォーム改ざんからのカード情報漏洩のようですね / “不正アクセスによる情報漏洩に関するお知らせとお詫び | TH…” https://t.co/Og9cOvRbbB
— 徳丸 浩 (@ockeghem) 2016年4月12日
公式発表による「延べ537件」についてのみの言及だとは思いますが、フォーム改竄によるものと推定されていらっしゃいます。これ自体については異論があるところではありません。当該通販サイトが決済代行を使っていたことが推定される上に、漏洩した期間が「2016年1月16日から2016年3月2日まで」と比較的短期間であること、氏名の他はクレジットカード情報に限定されていること等を総合すると、フォーム改竄によるものと推定できます。
しかし、約20万件という膨大な量の個人情報が流出した部分に関しては何ら言及されていないのが気になります。そして、この徳丸浩氏のツイートからセキュリティクラスタが「フォーム改竄による漏洩」に傾いているのも気になるところではあります。
実は、以前も類似のパターンで「フォーム改竄による漏洩」にセキュリティクラスタが一気に傾いたことがあったのですが、その時は漏洩期間が長期間かつ膨大だったことから自分の方からSQLインジェクションじゃないですか?と指摘させて頂いたことがあります。今回もそのパターンに似ているなぁと思うので、敢えてブログで追記させて頂こうかと思いました。
公式発表の2番目については「SQLインジェクション」の可能性が非常に高いと推定されます。漏洩期間については言及されていませんが「最大199,709件」という書き方から推定すると、発覚時点で登録されていたユーザー数なのではないかと推測されること、そして、やはり鍵になるのは「フォーム改竄」によると考えるにはあまりにも膨大な数であるという事です。
ちなみに、当該サイトは「EC-CUBE構築事例」の記録によるとEC-CUBEを使って構築されていたと推測できそうです。情報が古い(2012年のもの)のですが、Googleのキャッシュでソースを見てもEC-CUBEらしき記述が多数見つかることから、漏洩段階でも使っていた可能性はありそうです。
これらを総合して判断すると、今回の情報漏洩事件については古いバージョンのEC-CUBEが使われていて、脆弱性を突かれて「フォーム改竄」+「SQLインジェクション」により情報が漏洩したという事が推定できそうです。さて、古いバージョンのCMSを使い続けて情報漏洩した場合、責任はどこにあるのでしょうか?そちらも興味深いところではあります。
コメント