本年の7月後半に話題になっていた、アリコのカード情報流出事件について。
最近起きた情報漏洩の中では割とずさんな話なんじゃないかという印象があったので、原因が特定されるのをITProのニュースなどを見ながら待っていたのだが、1ヶ月以上経った現在でもまだ「内部からの流出の可能性が高い」ということしか公表されていない。
私自身、一介のソフトウェア開発者として、機密情報等を扱うことが多い立場にいて、「この現場で見聞きした情報はけして漏らさないように」といった誓約書に何枚もサインしてきている身なので、こういった情報漏洩のニュースはいつも他人事とは思えずに見ている。
一口に情報漏洩と言っても、例えば「数十件のID+メールアドレスを印刷した紙を漏洩しました」という比較的影響が軽微なものもあれば、「数万件の住所・氏名・電話番号をWinnyで放流してしまいました」といった影響が大きい物もある。
アリコの件では、10万件を超えるデータが漏洩していて、しかもそれによってクレジットカードの不正利用が4000件以上も発生している。海外ではこれよりさらに規模の大きい漏洩事件(※1)も発生しているが、日本では過去最大級の漏洩ではないだろうか。
※1 米国で4,000万件以上のカード情報流出の恐れ。日本国内にも影響
http://internet.watch.impress.co.jp/cda/news/2005/06/20/8072.html
情報漏洩の中にも、システム運営者の目から見て「これは仕方ない」と思えるものから、「それはやってはいけないだろう」と思えるものまで、様々な種類がある。
例えば2006年10月に起きたNTTドコモ系列の漏洩事件は、顧客情報を保存したUSBメモリが、偶然車上荒らしに遭って盗まれたことから発生している。最近では「機密情報は持ち歩かない」とか「情報は必ず暗号化する」といった規則が当たり前になってきた中で、「不用意」として扱われる事件ではあるが、多少は同情できる要素もあると思われる。
また、きちんと情報を取り扱っていても「担当社員が金目当てに情報を持ち出した」という話になってしまうと、確実に漏洩を防止する策は思いつかない。
例えば今年発生した三菱UFJ証券の顧客情報流出では、社員がデータベースから顧客情報を抜いて業者に売却している(※2)。
こういった経路での流出対策は、アクセスログの監視や警備員による持ち物検査等、取れる手が無いわけでも無いが、内部の人間がその気になっても破れないような監視体制を作るのは難しい上に費用もかかる。どこまで規制すべきかは裁量が難しい。
※2 三菱UFJ証券の元部長代理を逮捕 5万人分の顧客情報売却
http://www.itmedia.co.jp/news/articles/0906/25/news037.html
上記のような件は同情の余地があるとして、逆にけして起こしてはいけない、同情する余地が少ない漏洩経路も存在する。「SQLインジェクションによる漏洩」や「Winnyやトロイの木馬による流出」、「OEM先への安易な情報提供」などが挙げられる。
SQLインジェクションは、2005年に価格ドットコムがこの攻撃を受けてサービス停止に陥った時期から飛躍的に知名度を上げ、今ではWEB開発をしている人間であれば誰でも名前を知っているレベルまで知られ渡っている攻撃方法である。この攻撃に対する脆弱性がまだ残っていて個人情報を抽出されたとしたら、それは企業努力が足りなかったと言わざるを得ない(中小の企業では脆弱性を残したままのサイトも多く見られるのが現状ではあるが)。
また、システム開発におけるテストデータの取り扱いについても慎重さが求められるようになってきている。昔は顧客情報が入った本番データも平気で閲覧できる環境が多かったのだが、最近では私のようなフリーの立場の人間は、個人情報に関わるデータは一切閲覧できない場合が多い。会社によっては開発担当の社員でも、アクセスが制限される場合が増えている。
正直、本番データが存在する場合はそれをそのまま使えれば、開発者的には楽になる。テストデータを自前で作る必要がなくなるし、実際に運用するデータでテストしておいた方が実運用で想定外の事態に出くわすことも減る。
とはいっても、個人情報が含まれたデータを社員以外も行き来する開発現場に公開することはリスクの拡大になるし、OEM先にデータをそのまま渡したことが原因で漏洩が発生した場合も、情報管理が甘いと言って情報提供側がにも責任が発生することになるので、安易に公開するのはけして正しい方策ではない。世知辛い世の中である。
さて、本題のアリコの件について、現在分かっている情報を箇条書きにするとこんな感じになる。
・流出数は13万件(確定?)
・2008年3月頃に流出したものと思われる
・カードの不正利用は4228件
・不正利用が始まったのは2009年7月
流出してから使用されるまでの間に1年以上経過している。となるとサーバログも消してしまっている可能性がある。アクセスログなどは一定期間ごとに古いログはローテートされ、指定期間を超えると削除されてしまう場合が多い。どの程度の期間ログを保持するかは企業にもよるが、短いところでは半年も経てば消してしまう。
1年以上前のアクセスログとなると残していない企業の方が多いと思われる。もし犯人が内部の人間だった場合は、どの程度でログが消えるかを考えた上で情報を使用することも可能だろう。
これ以外に重要な情報が1つ。この情報を見て私は「管理がずさんだったのでは?」という疑問を持った。
・流出した情報は、証券番号の下1桁が2または3に限られている
この情報を見て「テストデータ流出」が頭に浮かんだ人も多いのではないだろうか。私もそう思った。
本番データをテストに使用する際、全件流し込むと負荷が大きくなってしまう場合はなんらかの条件でデータを絞り込むという手はよく使われる。
例えば今回は流出量が13万件。下1桁を2もしくは3で区切ってなければ65万件になる。テーブル構成やマシンスペックにもよるが、データ量が10万件を超えた辺りから、SQLを投げた際のパフォーマンスは体感できるレベルで重くなってくる。テストデータとして13万件のみ使用するというケースは十分に考えられる。
また、アリコは情報漏えいの経路は「外部の可能性は極めて低い」と発表している(※3)
外部からの攻撃で取れる場所にデータが存在したかどうかは分からないが、SQLインジェクションでデータをごっそり取れたとしたら、下1桁が2か3などといった中途半端な取り方はせずに全件取得されるのが自然だ。
※3 [続報]アリコの顧客情報流出、「外部の可能性は極めて低い」
http://itpro.nikkeibp.co.jp/article/NEWS/20090904/336579/
ニュース等で流れている情報から今回のケースを想像してみると、昨年の3月頃にシステムの改修か何かが行われて、その際にテストデータとして顧客情報の一部が使用され、それを閲覧できる立場に居た誰かがデータを持ち帰って情報を漏洩させたのではないだろうか。
仮にそうだった場合、漏洩してからかなりの期間が経っており、当時の開発者の中には既に連絡が取れなくなっている人間が複数居てもおかしくない。その場合「おそらくこの経路で流出した」と予想を立てることは可能だが(既に内部的にはその辺りまでは特定されているのではないだろうか)、誰が犯人かというところまでは特定できない可能性もある。
これだけの事件が漏洩経路不明で終わってしまうと、今後、本件を模倣した犯行も起こりかねないだけに、確かな情報漏洩経路が特定されることを期待したい。
尚、アリコは9月中旬に今回の調査結果を公表する方針(※4)である。
※4 アリコの情報流出、内部からと特定 持ち出し後に売却か
http://www.nikkei.co.jp/news/keizai/20090904AT1F0300703092009.html
参考URL
アリコ顧客情報流出は昨年3月時点か
http://www.nikkansports.com/general/news/f-gn-tp2-20090819-532937.html
流出は2008年3月時、流出数は13万件、約90人の社員を聴取、などの情報が載っている。
アリコジャパン、カードの不正利用照会件数4228件に
http://www.nikkei.co.jp/news/keizai/20090816AT2C1400I14082009.html
8月中旬の時点で4000件以上不正利用が行われていたらしい。
これだけ派手にやっても捕まらないというのも、ある意味、凄いと思う。
[続報]アリコ、顧客情報の流出時期が判明
http://itpro.nikkeibp.co.jp/article/NEWS/20090819/335731/
流出した情報は「証券番号の下1桁が2または3に限られている」らしい。
[続報]アリコの顧客情報流出が拡大、テストデータ流出の可能性も
http://itpro.nikkeibp.co.jp/article/NEWS/20090727/334596/?ST=erm
顧客情報を閲覧できるのはシステム開発の関係者約40人らしい。
Wikipedia - 個人情報漏洩
http://ja.wikipedia.org/wiki/%E5%80%8B%E4%BA%BA%E6%83%85%E5%A0%B1%E6%BC%8F%E6%B4%A9
いまだ続く情報漏えい,設定ミスなど穴がないかを要チェック
http://itpro.nikkeibp.co.jp/article/COLUMN/20090824/335957/
==================================================
最近、セキュリティ系の副業に絡み始めたので、説得力のある資料を作る練習として書いてみた