ニコニコチャンネルメニュー

ブロマガ - ニコニコチャンネル

ある敗北者のMTG考

カードショップセラの漏洩事件をなるべく冷静に捉えたい(非技術者向け)

2019/11/21 20:04 投稿

コメント:2

  • タグ:
  • MTG

 諸事情で露出が減っておりますので、拡散していただけると幸いです。
 (追記: 沢山の拡散、感謝いたします。)

12/2追記:
 その後です。
 https://ch.nicovideo.jp/Iridescent_Null/blomaga/ar1839908



11/22編集:
 一つ目のQ and Aに対して「そこまで世界的か?」という御指摘が(空中で)入ったので、表現を修正。各国における状況について、把握しきれておりませんでした。不勉強と軽率をお詫びいたします。
 以下の囲み内のみ、技術者向け。



 本邦資料ならば「情報漏えい発生時の対応ポイント集(第3版)」の6ページ、「ただし、 情報の公表が被害の拡大を招く恐れのある時は、公表の時期、対象などを考慮します。」や、「情報漏えいインシデント対応方策に関する調査報告書」の81ページ「ただし、その際情報を開示することがさらなる二次被害を発生させないことを確認したうえ開示しなければならない。」(こちらは少々古い資料)など。
 国外の例を1つ上げると、米国の連邦取引委員会の「Data Breach Response: A Guide for Business」では「調査を妨害しない公表タイミングを期せよ(The FTC recommends you: consult with your law enforcement contact about the timing of the notification so it doesn’t impede the investigation.)」となっており、書かれている理念はことなれど、必ずしも即時の公表を薦めていません。他、「as soon as possible」や「as soon as feasible」や「as soon as practicable」と書かれている基準も国外を探すと多く見つかりますが、その中の幾つかには条件が付されており、必ずしも「即時」を意味してはいないようでした(可能ならはよせい、とも続けて書かれていたりしますが)。(オーストラリア政府の例: Entities must notify individuals as soon as practicable after completing the statement prepared for notifying the Commissioner (s 26WL(3)). Considerations of cost, time, and effort may be relevant in an entity’s decision about when to notify individuals. However, the Commissioner generally expects entities to expeditiously notify individuals at risk of serious harm about an eligible data breach unless cost, time, and effort are excessively prohibitive in all the circumstances.)。









11/22追記:
 「セラがかわいくて擁護してんじゃねーよ」という方があまりに多いので、









 好きなわけねーだろ、憤懣やる方ないわ。
 だが、だからって事実に即さず誰かを攻撃するのは最低だ。













0  序

 この記事においては、カードショップセラへの批難を咎めるような表現が多々出現するが、それは同社を擁護する目的によるものではなく、むしろ、正しい殴り方を指導することを目指していると最初に述べさせていただきたい。
 一問一答形式というかQ and A形式というか、インターネット上でよく見かけた批判に応えるような形で、主に非技術者へ今回の事態をざっくばらんに説明していきたいと思う。
 また、余計な情報の錯綜を早期から防ぎたいという目的が本記事には有り、その為、正確性よりは速報性を重視してしまっていることをここで明言させていただく。以下、主に、IPAの文書やPCI DSSを参考にするものとする。




1 背景

 省略。こちらをどうぞ。
 簡単に言うと、カードショップセラが一年前にクレジットカード情報(セキュリティコード付)を漏らし、今日の今日ようやく事実を公表した。




2 Q and A


Q 漏洩が発覚してからすぐにその事実を公表すべきであった。期間を置いた株式会社英宝(以下、英宝)は不誠実だ。

A それは完全に間違っている

 「情報漏洩が起こった際に、"即"その旨の公表や謝罪をするのは、殆どの状況において悪手である」というのは 世界的に共通理解 本邦において広く共有された知見 となっている。拙速な公表により、更なる攻撃を誘発させてしまったり、また情報の種類によっては興味本位での検索や転載が行われて本当に収拾がつかなくなってしまう。なにかのキャッシュやアーカイブに残れば、また最悪だ。世界に公開しているシステムにおいて、こういう対処は慎重に慎重を期さねばならない。また、問い合わせに対応する態勢も、公表に先だって社内で整えておかねばならない。
 もちろん、即刻公表していればそれで救われた人も居るかもしれないが、こう言う情報を窃取した輩が無駄に寝かせておくとも思えず、それなりに速やかに“マネタイズ”を試みるのが自然である。このマネタイズに手間がかかることも有るが、クレジットカード番号とセキュリティコードという強力なデータならばそこまで時間は掛かるまい。ならば、そうやっても救える人の数は多くないだろう。その少ない数の人に対してはとにかく補償を行うとして、それでも拙速な公表を差し控える。これは、漏洩事件においていとも尋常な対応である。
 「公表前に問い合わせたのに対応してくれなかった!」についても、同様にやむを得なかった可能性も有る。そうじゃない可能性も有るが(いずれにせよ、予定せぬ人的リソースの確保は厳しかっただろう)。





Q 1年という期間は異常だ。

A そう思えるが、正当な理由が有ったかもしれない。
 
 ヤマダ電機の事例から引用する。

Q: 情報漏えいの可能性判明から公表まで1か月強の期間で行われた点についてはどのようにお考えでしょうか。

A: こちらについては、早いほどよいというわけではありません。早期に発表したものの、問い合わせ窓口がなかったり、問い合わせ窓口があっても答えるべき情報が不足したり精度に欠けていると利用者も混乱します。また、他社の事例でみると、2か月から半年程度かかっている場合が多いので、1か月というのは、相対的にはかなり早い方だと思います。


 そう、結構時間が掛かるものなのだ。私が調べたところでも、半年程度掛かってしまっている事例は結構有った。
 今回英宝が受けた攻撃の内容が、公表までの長い準備期間を要求するものであったかもしれないし、実際、調査機関による調査は2019年09月30日までと中々掛かったようだ。また、英宝の企業体力は、明らかにヤマダ電機やそこらの一流企業とは比べ物にならないはずだ。1銭にもならないタスクをがりがりと進めるということは、どうしても無い袖が振れずに難しい所も有っただろう。
 以上のように、完全に正当な理由が有ってここまで公表が遅れた、かもしれない。もちろん一年というのはやたらめったら長いから、悪意や打算をもって遅らせた可能性も否定はしきれない。とかく、批判先としてはそこまで完全でない。名前を出していないとはいえ調査機関を巻き込んでいる以上、無駄に延ばしてなどはいないのではないか、という気はしなくもない。





Q セキュリティコードを保存していた! 英宝はクソ企業だ!

A そんなことは、公表記事から全く読み取れない

 まず、元記事から引用する。
(1)原因
弊社が運営する「Cardshop Serra」のシステムの一部の脆弱性をついたことによる第三者の不正アクセス
(2)個人情報流出の可能性があるお客様
2017年09月17日~2018年11月08日の期間中に「Cardshop Serra」においてクレジットカード決済をされたお客様(4,982件)で、流出した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
 どこにも、「セキュリティコードを保存していた」だの「DBに不正アクセスされた」だのとは書かれていない。というか、むしろ保存していなかったと考える方が自然である。
 加藤氏が自分でコードを書いてあのECサイトを作ったなんて話は聞いたことないし、万一そんなことしていてたら、あの話したがり(書きたがり?)の人物がそれをむっつり黙っているとは考えられない。というか、そんなことする奴滅多にいない。というわけで、当然あのウェブサイトも外注されている訳だが、金を取って人に製品を納品する技術者が「せきゅりてぃこーどはほぞんしてはいけません」なんてことを知らないわけが無い。知っているのなら、そんな、犯罪にしか使えないような仕様を粛々と受け入れて開発するとはとても考えにくい。

 では、なぜセキュリティコードが盗まれたのかというと、例えば「ブラウザから英宝のサーバへ情報が渡る際に、攻撃者のサーバへついでに送信されてしまった」「ECサイトでボタンを押して遷移を続けている途中に、攻撃者のサーバへ送信するフォーム画面が不正に表示されていた」などの手口が考えられる。これらの手法では通信を盗聴するわけでは無いために、古くから有る単純なやり方よりもずっと厄介で、事実今日も被害をもたらしつづけているという(参考)。簡単に言い直せば、とにかくセキュリティコードをインターネットへむけて送信する必要が有るのだから、英宝社が全くそれを保存していなくとも窃取する方法は有ると言うことである。
 とはいえ確かに誤解を招きがちな話なので、「セキュリティコードを保存していたわけではないのだが〜」とどっかに書けなかったのかな、というのが個人的な感想。




Q なんでこんなクソこっそりとしたリンクしか設置しないの? 逃げ切ろうとしているでしょ。

A 回答が出ました。

 この点については強く指弾しようと思っていたのだが、そういう事情らしい。まぁ、流石に他の関係者の手前嘘は書かないだろうから、そうなのでしょう(形式を決める際英宝がどこまで口を出せたのかはわからないし、「最近の更新」とやらにも追加出来ないのだとしたら、個人的に驚きだが)。





Q 人の情報漏洩させておいて、この一年動画に出たりウキウキし過ぎでしょ。

A もしかしたら、心の中で死ぬほど反省していたかもしれないじゃない(してない可能性も有るけど)。
 
 公表していない以上何もできないわけで、また、会社を存続させなきゃいけない以上お通夜ムードで一年過ごすわけにもいかないわけで、そういうのはまぁ邪推で可哀想では? と個人的には。少なくとも、批判材料にすべきでは無い











Q 脆弱なウェブサイトで商売やってんじゃねーよ

A Exactly (そのとおりでございます)
 
 いや、一応、「世界で初めての攻撃方法でどうしようもなかった」って可能性は有る。でも、多分そうじゃないでしょ。保存しないにせよセンシティブな情報をとにかく受信するようにしている以上、目茶苦茶のバキバキに攻撃されても水も漏らさないようなシステムを構築しておくというのは、望ましいとか目指すべき目標とかではなくて、最低限満たすべき義務である。会社内のどっかあるいは外注先に、一定以上のセキュリティへの知識と関心を持った人間を用意しておく必要が有る。そうでなきゃ、クレジットカードを初めとする個人情報を扱った商売なんかしてはいけない。この一点については、本当に擁護の余地は無いと思う。




3 まとめ

 人を殴る時は正しく殴りましょう。そうしないと自分が痛い目をみたり、あるいは攻撃の成果が損なわれます。そう、我々はMTGで習いましたよね?


ななかけるゼロ




コメント

REC
No.2 (2019/11/22 02:05)
最後のコメントがウィットに富んでて草
細長
No.3 (2019/12/23 23:22)
サイトのリニューアルに伴い、上記の回答の URL がリンク切れしてるようです (old. をつければ閲覧可能)。
こんな重要なお知らせをリニューアル後のサイトには載せないんですね。
コメントを書き込むにはログインしてください。

いまブロマガで人気の記事