こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
株式会社新生銀行と新生フィナンシャル株式会社は9月27日、同行からの複数の業務委託先等にWeb解析や広告媒体事業に関するデータ提供をするにあたり、一部顧客の個人情報が含まれることが判明したと発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】Web解析のために委託先へ提供したデータに、意図せず個人情報が含まれていたということです。管理系の機能に対するセキュリティや、委託先へデータを提供する際に気を付けるべきポイントについて説明します。
今回のインシデントは、Web解析を目的に委託先へ提供したデータにIDとパスワードが含まれていたことが発覚し、追加で調査を進めていたところ、複数の委託先へ提供したデータログに、顧客の個人情報が含まれていることが判明したということです。
誤って提供した情報は、メールアドレス、銀行口座関連情報、カード暗証番号などで、被害者に対してはカードの再発行による暗証番号の変更を案内しているようです。また、現在のところ情報が外部へ二次流出した形跡はなく、不正利用等は確認されていないということです。
発生原因としては、各ページのURLのみを委託先へ提供するべきところ、一定条件下でメールアドレスや入力情報などが含まれてしまう設定になっていたようです。また、現時点では原因特定に至っていない事案もあり、今後の調査内容も踏まえて有効な再発防止策を立てるということです。
管理系の機能でもセキュリティ対策は必要です。理由は、攻撃者は公開されている機能などを経由して管理系の機能を攻撃することができる場合があるからです。具体的に例を挙げて説明します。
今回のWeb解析や、ECサイトの受注管理など、管理系の機能は一部の関係者しか使わないため、セキュリティ対策が不要と思われがちです。しかし、管理系の機能に脆弱性があった場合、攻撃者は公開されている機能やメールなどを経由して攻撃をすることが可能な場合があります。
具体的には、ECサイトの管理画面にXSSの脆弱性があったとします。XSSとは、クロスサイトスクリプティングの略で、Webアプリケーションの脆弱性です。ユーザが入力した文字列が表示される際に、そのままスクリプトとして実行されてしまうことで被害が発生します。例えば、受注管理の画面にXSSの脆弱性がある場合、攻撃者は発注内容にスクリプトを埋め込んで、被害者が受注管理の画面で攻撃者の発注内容を表示した際に、攻撃のスクリプトが実行されるようにすることができる場合があります。攻撃者が受注管理の画面にアクセスすることができなくても、被害者を攻撃することが可能ということになります。
また、CSRFの脆弱性があった場合、罠のリンクが入ったメールやSNSなどを経由して、意図しない操作を強制することができる場合があります。CSRFとは、クロスサイトリクエストフォージェリの略で、Webアプリケーションの脆弱性です。攻撃者が用意したリクエストの処理が、被害者に割り当てられている権限によって実行されてしまうことで被害が発生します。例えば、ユーザ削除の処理にCSRFの脆弱性がある場合、攻撃者はフィッシングメールなどでリクエストが発行されるリンクを被害者へ送り、被害者がリンクをクリックした際に、ユーザが削除されてしまう場合があります。こちらも、攻撃者がユーザ削除の権限を持っていなくても、被害者を攻撃することが可能ということになります。
今回のインシデントの再発防止策として、適切な委託先の管理が必要です。情報セキュリティマネジメントシステムのISMSから引用して説明します。
サプライチェーンリスクの問題でも言われていることですが、自社だけのセキュリティ対策では情報資産を十分に保護できません。外部委託先や関連企業も含めて、全員参加のセキュリティを社会全体で目指していきましょう。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
