プライバシーザムライがゆく(プライバシーマーク・ISMS最新情報)

プライバシーマーク、ISMSのことなら、当社(オプティマ・ソリューションズ)にお任せください。

2019年05月

2019-05-31 10.43.51
(画像は同社Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

家電量販大手のヤマダ電機は、自社が運営する通販サイト「ヤマダウエブコム」と「ヤマダモール」のカード入力画面に改ざんが行われ、最大で4万件弱のカード情報が流出した可能性があると発表しました。

流出した可能性があるのは、今年3月18日から4月26日の間に、同社の通販サイトにクレジットカード番号を入力した顧客の
「クレジットカード番号」「有効期限」「セキュリティコード」最大37,832名分
とのことです。

同社では、今回の発表にいたる流れを下記の通りと説明しています。
 4月16日 カード会社からの連絡を受けて調査を開始
 4月26日 Webサイト上でのカード情報の登録を停止
 5月7日 警察当局に報告と相談
 5月20日 調査が終了
 5月28日 個人情報保護委員会に報告
 5月29日 公表

同社では、クレジットカードの再発行にかかる費用が同社が負担するとしています。

https://www.yamada-denki.jp/information/190529/

(私のコメント)
同社のリリースによると、原因を「第三者によってWebサイトに不正アクセスがあり、ペイメントアプリケーションの改ざんが行われたため」としています。この表現が大変分かりづらい上に、また「カード番号やセキュリティコードは自社では保存していなかった」との説明を行ったようで、マスコミ報道などで少し混乱があったようです。

今回の原因を分かりやすく表現すると、「Webサイトが乗っ取られ、内容が書き換えられたために、本来は決済代行会社に直接送信されていたはずのカード情報が抜き取られた」ということです。

つまり犯人はとても慎重に同社のサーバーに入り込み、見ただけは気づかないような形でカード情報が自分たちのサーバーに流れてきて、かつ購入手続きは正しく完了できるようにWebサイトの内容を書き換え、それが実際に1ヶ月間以上そのままになっていたということなのです。

今回の事件は、流出したカード情報の一部が不正利用されたことにより、カード会社側で検知されて発覚したようです。しかし、もし犯人が不正利用をしないまま寝かせていたとしたら、もっと長い間、発覚しなかった可能性もあります。

つまり、もしかすると他の大規模な通販サイトでも罠が仕掛けられている可能性がありますね。カード決済をお使いの全ての事業者の方は、決済代行会社の画面に遷移する直前のWebページが改ざんされていないか、再度確認されることをオススメします。

また、何か情報が入りましたら、皆様にシェアいたしますね。





1日5分個人情報保護士認定試験 特訓アプリ

皆さんこんにちは。
プライバシーザムライ中康二です。

お付き合いのあるアイデアルネットさんが、個人情報保護士認定試験の対策アプリを出されたとのことで、ご連絡をいただきましたので、本Blogでもご紹介させていただきます。

ダウンロードは無料でできますので、私もダウンロードして内容を確認してみました。
過去問を元にした例題がたくさん出てきて、実戦形式で答えることができる構成になっています。

途中から先に進めようとすると、有料になりますが、
まずはそこまでやるだけでもどんなものか意味があると思います。

<特徴>
最新の過去問題にて、反復練習が出来ます。

■1日5分の特訓
個人情報保護士試験の対策問題集を
毎日特訓できます。学習の進捗や
正答率がグラフで確認。

■4問択1の問題集
実際の過去問を分野ごとに
限られた時間で効率よく学習。

■いつもでどこでも
いつでも、どこでも、スマートフォンで、
すきま時間に試験対策。

https://ideal-net-app.com/


興味を持たれた方はぜひダウンロードしてみてください。

なお、私が執筆を担当させていただいている対策本は下記になりますので、
合わせてご紹介させていただきます。

スピード学習 個人情報保護士試験《完全対策》改訂5版
https://books.rakuten.co.jp/rb/15054355/
9784866670119
(Amazonでは売り切れているようです)

私の本で基礎知識を学んでいただいて、アプリで実力を試すのをオススメします。

また、何か情報が入りましたら、皆様にシェアいたしますね。

2019-05-16 15.31.43
(画像は同社Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

衣料大手ファーストリテイリングは、自社が運営する通販サイト「ユニクロ公式オンラインストア」「ジーユー公式オンラインストア」に大規模なパスワードリスト攻撃が行われ、46万件の不正ログインを許し、利用者の個人情報を流出させた可能性があると5月13日付で発表しました。

流出した可能性があるのは、通販サイト利用登録者の情報で、
「氏名」「氏名カナ」「郵便番号」「住所」「電話番号」「携帯電話番号」「メールアドレス」「性別」「生年月日」「購入履歴」「マイサイズに登録している氏名とサイズ」「配送先の氏名、住所など」「クレジットカード番号の上4桁と下4桁」「有効期限」など 約46万名
とのことです。

同社のリリースによると、4月23日から5月10日にかけてパスワードリスト攻撃が行われて46万件の不正アクセスを許してしまったといいます。顧客から「身に覚えのない登録情報変更の通知メールが届いた」という連絡を受け取って社内で調査したところ、事実が発覚したといいます。

https://www.fastretailing.com/jp/group/news/1905132000.html

同社では、対象ユーザーのパスワードを無効化し、パスワード再設定をするようにメールで連絡したとのことです。

(私のコメント)
これほどの規模のパスワードリスト攻撃の成功例は珍しいのではないかと思います。

そもそもパスワードリスト攻撃の場合には、
(1)まず、IDが一致しない可能性があります。ユニクロのWebサイトがいくら人気だと言っても、日本のネット利用者の1割程度だと思いますから、少なくともここで10回に9回くらい失敗するはずです。
(2)次に、パスワードが一致しない可能性があります。いくらパスワードを使いまわしている人が多いとはいえ、その比率はどんなに高くても3割程度にとどまるのではないかと思います。

そうすると、ログインに成功できるのは30回に一回という仮定が成立します。46万回の成功を許すには、単純計算で1380万回、少なくとも1000万回以上のチャレンジが行われているはずです。

1000万回の不正アクセスのチャレンジが機械的に行われれば、通常は管理者側で異常に気付くと思われます。しかし、今回はそれが見過ごされ、不正アクセスに成功してしまいました。

ということは、今回の攻撃者は、分散したIPアドレスから不正アクセスを行ったり、一定の時間をあけてゆっくりと不正アクセスを行うなど、検知を逃れるために工夫を凝らした可能性があると思います。

同社のリリース文にもURLが貼り付けられていますが、今後は大規模なWebサイトを構築する際には、「二要素認証」や「特定のIPアドレスからの通信の遮断」「普段と異なるIPアドレスからの通信の遮断」などが必須になってくると思います。
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000063.html

先日からメディアで報道されているように、
何億件ものIDとパスワードの組み合わせが出回っている訳ですから、
このままでは、この手の事件がまだまだ続きそうです。ほんとに。

また、何か情報が入りましたら、皆様にシェアいたしますね。




IMG_4529

皆さんこんにちは。
プライバシーザムライ中康二です。

今週金曜日まで東京ビッグサイトで開催されている「情報セキュリティEXPO」会場からのレポートです。

ゲイトウェイ・コンピュータ社ブースでは、標的型攻撃メール訓練「GINC(ジーインク)」が出展されていました。

これは、いわゆる標的型攻撃メール訓練なのですが、一番の特徴は専用のハードウェアを提案しているところです。

このハードウェアを購入して、社内に据え付ければ、標的型攻撃メール訓練を年中行えるというわけです。

標的型攻撃による被害が相次いでいる現状において、標的型攻撃メール訓練を年に1回やればいいというような状況ではありません。大手企業では全社員一斉ではなく、少しずつ対象範囲を絞って継続的に実施するほうが効果的と思われ、そのようなニーズに対応するため、このハードウェアが製品化されたとのことです。

IMG_4527
(これがそのハードウェアです)

また、同社では単にメールを開いたら「減点!」ということではなく、標的型攻撃メールを開いてしまった場合の対応(ネットワークを遮断する。関係部署に報告するなど)を実際に行わせて、万が一の場合に備えるような「行動訓練型」のメニューも用意しており、他社との差別化を図っているようです。

興味を持たれた方はぜひ同社ブースで話を聞いてみてください。

https://www.gateway.co.jp/ja/service/security-solution/ginc/

なお、当社ブースにて、情報セキュリティに関する無料相談会も開催します。
詳しくは下記をご覧ください。
https://www.optima-solutions.co.jp/archives/15898

また、何か情報が入りましたら、皆様にシェアいたしますね。

今週いっぱい、東京ビッグサイトにて開催中です。
ぜひ会場でお会いしましょう!

FullSizeRender

当社ブースにて、情報セキュリティに関する無料相談会も開催します。
詳しくは下記をご覧ください。


↑このページのトップヘ