46万件超のカード情報他が流出、その攻撃の背景
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」3月9日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・半年間に渡り行われた複合的な攻撃とは
・セキュリティ基準を満たしていてもインシデントが発生してしまう背景
今回の解説ニュース
約半年にわたる複合的な不正アクセスにより、個人情報やクレジットカード情報などが流出したとのことです。実際に行われたサイバー攻撃の内容や、PCI DSSの基準を満たしていたにも関わらず、情報漏えいに至った背景について説明します。
今回のインシデントは、同社決済データセンターサーバ内に配置された一部のアプリケーションの脆弱性を利用した不正アクセスにより、個人情報を含む情報の外部流出が判明したとのことです。原因として、社内管理システムへの不正ログイン、 一部アプリケーションへのSQLインジェクション、バックドアの設置が複合的に行われたことが挙げられています。
対策として、ログイン認証方式の強化と、SQLインジェクション対策として接続元の限定と脆弱性の修正を実施、バックドアの削除を完了しています。また、警察に被害申告を行っており、その他、経済産業省、関東財務局、個人情報保護委員会、JIPDECと情報連携を行っています。再発防止策として、専門のアドバイザーも含めた再発防止委員会を設置するとのことです。
半年間に渡り行われた複合的な攻撃とは
今回のインシデントでは「社内管理システムへの不正ログイン」「SQLインジェクション」「バックドアの設置」が行われました。脆弱性の詳細については発表されていないので、あくまでも一般論として説明します。
社内管理システムへの不正ログイン
本来は不特定多数のアクセスを前提としていないシステムであるため、セキュリティ対策が十分ではない可能性があります。また、社内管理システムへの接続元を制限していても、メール経由のマルウェア感染などで社内の端末が踏み台になる可能性があります。今回のインシデントでは、対策としてログイン認証方式の強化や、同一環境下への影響を防止するため、システム環境の分離が行われています。
SQLインジェクション
Webアプリケーションのソースコードに脆弱性が存在していた可能性があります。具体的には、データベースを操作する検索などの機能にSQL文が使われていることが考えられ、外部からの入力値をそのままSQL文の一部に連結していることが考えられます。今回のインシデントでは、対策として接続元の限定や、脆弱性の修正が行われています。
バックドアの設置
これは先に説明した2つの脆弱性をつかれた結果、不正なファイルをサーバ上に置かれた可能性があります。バックドアの主な目的は、侵入するために悪用できる直接的な脆弱性が修正された後も、侵入を続けられるようにすることです。今回のインシデントでは、対策としてバックドアの削除を行っています。
これら脆弱性がつかれた結果、決済情報等が格納されている3つのデータベースに対し不正アクセスが発生したということです。
その他のトピック
セキュリティ基準を満たしていてもインシデントが発生してしまう背景(全文はこちら)