パスワードを忘れた? アカウント作成
25814 story
情報漏洩

HackerSafe証明済みサイトでカード番号漏洩発生、原因はSQLインジェクション 32

ストーリー by wakatono
張子の虎? 部門より

あるAnonymous Coward 曰く、

先月のサウンドハウス事件が記憶に新しいが、類似の事件が、化粧品通販サイトアイビューティーストアーなどで発生したと共同通信の記事が伝えている。記事によると、流出件数は2万件に達する可能性があり、漏洩したカード番号がネットゲームで不正使用されたケースが既に数十件確認されているという。同店を運営するオズ・インターナショナル社は5月20日に「不正アクセスに関するお詫びとお知らせ」を発表しており、それによると、同社の他店アイドラッグストアーの利用者も対象で、流出した情報は、クレジットカード番号と有効期限の他に、ログインパスワード等が含まれるとされている。

サウンドハウス事件では、社長名義で発表された詳細なお詫び文(PDF)の中で、「HackerSafeを導入してセキュリティ対策は万全と思っていたが、今回の流出には全く功を奏しなかった」という趣旨の記述があったのが印象的だったが、今回の被害サイトアイビューティーストアーにもHackerSafeのロゴが貼られており「検査済み」と表示されている(トップページ左下や、ログインページなど)。

HackerSafeの有効性を巡っては先月のストーリーでも議論になっていたが、海外でも物議を醸しているようだ。5月1日のZDNet Japanの翻訳記事「HackerSafe証明書に偽りあり?」によると、HackerSafe証明書が掲げられたサイトに次々とクロスサイトスクリプティング(XSS)脆弱性が発見されており、その事実に対して、HackerSafeの販売元であるMcAfee社の広報担当者は、「XSS脆弱性はSQLインジェクションやその他のセキュリティホールよりも危険度を低く評価しているため、XSS脆弱性が存在してもHackerSafeに不適合としてはおらず、McAfeeがXSS脆弱性を特定した場合には顧客に通知して啓蒙している」と説明したそうだ。

HackerSafeがどういうものかは、同サービスのWebサイトで説明されている。それによると、HackerSafeは「世界主要カード会社が定めたPCI-DSS(ペイメントカード業界データセキュリティ基準)、VISAが定めているAIS/CISP、MasterCardのSDPや、米国連邦政府系機関、また国際的かつ最高水準のセキュリティ基準に準拠・適合しています」とのことで、診断項目リストによると、「各Webアプリケーションに対しても検査することができます」とのことで、「クロスサイトスクリプティング」「CGIとFROM処理の脆弱性(SQLインジェクションを含む)」が列挙されている。

今回のアイビューティーストアーの被害で、HackerSafeはどのような効果を発揮したのだろうか。同サイトがいつからHackerSafeを導入していたかは不明なので、SQLインジェクション攻撃を受けた時点でHackerSafeが安全と表示していたかは定かでない。オズ・インターナショナル社の説明や、HackerSafeの日本代理店である三和コムテック社の説明に期待したい。

HackerSafeによるチェック漏れなのか、それともHackerSafeによるチェック自体は有効に機能していたにもかかわらずリスクを過小評価していたのか、考えられる要因はいくつもあるが、今回のケースはどうなんだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 海外の事例 (スコア:4, 参考になる)

    by Anonymous Coward on 2008年05月22日 6時48分 (#1348047)

    米国では過去にも事例があったようです。 SANS NewsBites、@RISKサマリー版 [index.jp]

    ◆Geeks.com データ侵害の可能性を顧客に通知(2008.1.7-8)

    Geeks.comのサイトの顧客は、クレジットカードデータやその他の個人情報が アタッカーに侵害されたおそれがあるとの通知を受けている。同webサイトに は、McAfee ScanAlertの"hacker safe"(ハッカーセーフ)標章があった。こ の標章は、顧客データがリスクに晒されたり、盗まれたりするような脆弱性が ないかどうか常に監視されているサイトであるという、Webの安全証明である。 ScanAlertの広報によると、この一年、Geeks.comのコンピュータシステムは ScanAlertの必須条件を満たしていなかったため何度か標章を撤去したが、そ の都度問題は対処されたため、再度許可したという経緯があった。今回の侵害 は2007年12月5日に発生し、影響の及ぶ顧客には1月4日(金)にその旨通知さ れている。米国シークレットサービス、Visa、地元警察はもこのインシデント についての連絡を受けている。 http://www.scmagazineus.com/Discount-retail-website-Geekscom-hacked/Pr... [scmagazineus.com] http://computerworld.com/action/article.do?command=viewArticleBasic&am... [computerworld.com]

    【編集者メモ1】(Schultz) この件により、「ハッカーセーフ」や「Hacker Proof」などのラベル表示は、 虚偽である可能性があることがわかった。公正取引委員会は、このような広告 慣行を行う組織への対処に取り組むべきである。

    海外における個人情報流出事件とその対応 第168回 セキュリティお墨付きサイトも [netsecurity.ne.jp] 2008年03月04日

    デスクトップコンピュータやノートブック、その他コンピュータの部品などを販売するGeeks.comのウェブサイトがハッキングされ、顧客の個人情報が被害を受けた。ここまでは、日常茶飯事化している情報漏洩事件の1つのようだが、"HACKER SAFE(ハッカーセーフ)"証明を出していたために注目を集めた。
  • by Anonymous Coward on 2008年05月22日 17時35分 (#1348368)
    Internet Watchより。
    http://internet.watch.impress.co.jp/cda/news/2008/05/22/19656.html

    > また、改善の一環として、サイトの脆弱性を検査し、安全性を証明するサービス
    >「HACKER SAFE」を導入。しかし、一部のサイトでは、オズ・インターナショナルの
    >情報流出を伝えるにあたり、「HACKER SAFE証明済みのサイトでカード番号漏洩発生」
    >などと紹介されたことから、「HACKER SAFE開発元のマカフィーと、その販売代理店が
    >誤解を受けてしまった。現在は一時的にHACKER SAFEを取り下げられてしまっている状
    >況」(大関社長)という。
    • by Anonymous Coward
      今からでもいいからタイトル変えてやれよ > 編集者
      • by Anonymous Coward on 2008年05月23日 7時30分 (#1348600)
        >今からでもいいからタイトル変えてやれよ > 編集者

        優しい人ですね
        でも変える必要は無いと思います

        理由は2つ

        ・事実保護されているはずならば、己のブランド最優先で
         認定取り消しという証明ソリューションなんて…
         信用出来ないという意味で晒しておいてほしいところ

        ・そもそも、このサイトにはまだ脆弱性が存在するのでは?
         HackerSafeの保護対象で無いという言い訳は可能ですが、
         どこまで保護対象か利用者に解らない安全を謳っていた点
         そこに問題があると指摘されているわけですよね

        親コメント
    • 「やられた後に導入した」って明確に書かれているわけでもないよなあ。たしかに「改善の一環として・・・導入」がそういう意味に読めるけど。

      で、ハッカーセーフから公式見解が出てたんだけど、

      一部報道に関する見解について [hackersafe.jp]

      HACKER SAFEサービスご利用のお客様のセキュリティ証明配信サイトにおいて情報漏えい事故が発生いたしました。このような事態が起こったことは誠に遺憾に思います。・・・

      なお、運用基準として

  • え? (スコア:2, おもしろおかしい)

    by Tatenon (20311) on 2008年05月22日 8時05分 (#1348061) 日記
    HackerSafeってハッカーにとって安全って意味じゃないの?

    # 油断しきってるでしょうし。
    ## 学生時代に英語で赤点以外とったことが無い奴は黙ってろ。
  • by Tsann (15931) on 2008年05月22日 14時02分 (#1348253)
    CGIとFROM処理の脆弱性(SQLインジェクションを含む) [hackersafe.jp](太字は引用者による)

    FROMの処理なら仕方がないですね~。ちなみに上の方にはFormって書いてあるけど診断項目ではないという方向で。
  • >> XSS脆弱性が存在してもHackerSafeに不適合としてはおらず....以下略.... この時点で安全証明としての役割を果たしてない気がするのですが,不適合としてはいけないビジネス上の原因もあるのですかね?
  • 優良誤認表示? (スコア:1, 参考になる)

    by Anonymous Coward on 2008年05月22日 6時28分 (#1348043)

    優良誤認表示 [jftc.go.jp](公正取引委員会)なんじゃないかと思ったのですが、不当表示防止法は、あくまで一般消費者向けの表示に関するものなのですね。

    サウンドハウスのとき、Hacker Safeの謳い文句を挙げて不満を垂らしていましたが、その不満も、よく読むと、

    ハッカーセーフには、「WEBサイトの安全証明」「365日休まずWEBサイトを診断することでハッキングのリスクからサイトを守ります」と書かれているため、このサービスを導入することで、ユーザーが安心してしまうのではないでしょうか。

    と書かれてるのですね。「ユーザー」がサイト経営者のことなのか、一般消費者のことなのか。一般消費者のことを言っているなら、優良誤認表示など不当表示防止法で取り締まられ得るところかもしれないけれど、ユーザーがサイト経営者のことを言っているなら、一般消費者じゃないので、契約の問題ですね。一般消費者と違って会社の場合は、綺麗な言葉を並べられて買ってしまったものが役に立たなかったとしても、自己責任なんですかね、法的には。

  • 「絶望した! Hackerを防げないHackerSafeに 絶望したっ!!」
    『やだなあ、Hackerを防げないわけないじゃないですか 今回は相手がCrackerだったんですよ。』
    #第十三集もやっぱりアレです
  • by Anonymous Coward on 2008年05月22日 0時23分 (#1347981)
    T/O
  • by Anonymous Coward on 2008年05月22日 0時38分 (#1347984)
    オズで買い物した覚えがあるのでどきどき
  • by Anonymous Coward on 2008年05月22日 1時33分 (#1348005)
    「完全じゃないけどまぁ大丈夫」みたいな検査結果が出てたとしましょうや。
    店側が損害賠償を請求したら勝てますかね?
  • by Anonymous Coward on 2008年05月22日 8時07分 (#1348062)
    現象的にはSQLインジェクションっぽいけど、ソースにはそんな事書いてないので。
    • Googleキャッシュがいつまで残っているか分かりませんが…

      書き換え前(2008年5月20日 14:33:38 GMT) [209.85.175.104]:

      このたび「アイドラッグストアー」「アイビューティーストアー」が中国からSQLインジェクションによる
      不正アクセスを受け、過去に「アイドラッグストアー」「アイビューティーストアー」をご利用になった
      お客様の個人情報の一部が流出した可能性が高いことが判明いたしました。
      現在確認されている流出項目はクレジットカード番号と有効期限、ログインパスワード等です。
      書き換え後(2008年5月22日現在) [ozinter.com]:

      この度、弊社運営ショッピングサイト「アイドラッグストアー」「アイビューティーストアー」が中国から今年1月、3月に不正アクセスを受け、過去に「アイドラッグストアー」「アイビューティーストアー」をご利用になったお客様のクレジットカード番号と有効期限の組みあわせが一部流出した可能性が高いことが判明いたしました。漏洩内容は名前、住所、ログインパスワード、メールアドレス、電話番号、カード番号、有効期限です。
      親コメント
    • 公式発表が書き換えられたのは他の人も書いてあるけど、例えばこちらの記事でも、SQLインジェクションとの表記
      オズ・インターナショナルの通販サイトで個人情報漏洩 - カードの不正利用も [security-next.com]

      あと、ハッカーセーフは、アイビューティーだけじゃなくて、アイドラッグストアも登録されていた。
      私が確認したときには、アイコンは無かったけれども、証明書が発行されてた。

      と思って、確認しにいったら、「オズインターナショナル」「アイビューティー」「アイドラッグストア」の3つとも、アイコンが無くなって、証明書も発行されなくなってる。
      5月20日深夜の時点だと、まだついていたんだけどね。
      このページに当時のアイコンのSSがある [rakuten.co.jp])
      親コメント
    • by Anonymous Coward on 2008年05月22日 8時41分 (#1348067)
      ソースは21日に書き換えられたようです。
      21日の朝に見たときはリンク先にSQLインジェクションと書かれてました。
      親コメント
  • by Anonymous Coward on 2008年05月22日 10時07分 (#1348094)
    読売新聞の記事 [yomiuri.co.jp]より:

    4月中旬、クレジットカード会社からの指摘で発覚し、約130件はオンラインゲームでカードが不正利用されていた。

    一か月も準備期間があったにしては、告知文を翌日に書き換えたりと慌ただしいですね。

    • by TIO (10391) on 2008年05月22日 10時35分 (#1348105)
       気になるのはむしろ1ヶ月近くの間、いったい何をしていたんだろうか、ということです。
       告知によってはじめて不正利用に気がついた、という人も多くいるかもしれません。
       このような場合、すでにカードの引き落としがされているということもあえります。
       意図的に告知を遅らせたのであれば、問題です。
       もちろん、事実確認をしていたということもありえますが。

       #しかしカード会社はどのように"指摘"したのだろう。
      親コメント
      • by rin_penguin (9144) on 2008年05月22日 10時43分 (#1348108)
        それこそ、サウンドハウスのリリースを読んでみてはどうでしょうか。
        中の人の動きが詳細に書かれています。
        親コメント
        • by TIO (10391) on 2008年05月22日 12時40分 (#1348178)
           返信ありがとうございます。詳細なお詫び文を読んでみました。
           ここまで詳細な動きが記載されているとは思いませんでした。
           各社の対応など、勉強になります。

           #PDFである必要はないのに。
          親コメント
      • by Anonymous Coward on 2008年05月22日 22時53分 (#1348507)
        クラックされた事実を隠して、こっそり対処しようとしたんじゃないでしょうか。
        過去にアイドラッグ利用したことがあったのですが、セキュリティ強化のためといって
        パスワード変更の依頼メールが4/24 に突然きてました。
        (この時点で「やられたかな」とは思ってましたが・・・)

        ----- ここから -----
        お客様各位

        平素はアイドラッグストアーをご利用いただきまして、誠にありがとうございます。
        この度、セキュリティ強化のためログイン機能の見直しを行っております。
        そこでログインの際のパスワードの変更をお願いしております。

        弊社では、より一層お客様に安心してご利用いただけるサービスをご提供できるよう
        努力してまいりますので、今後ともよろしくお願いいたします。

        ----------------------------------------------------------
        【パスワードの変更はこちら】
        ◆https://www.idrugstore.com/edit_pass/edit_pass01.asp
        ----------------------------------------------------------

        注意事項
        ※ パスワードは8文字以上、英数字を各1字以上は必ず含めて下さい。
        ※ パスワード変更のページでは、暗号通信方式(SSL)を採用しています。SSL対応のブラウザをご利用ください。
        ※ 変更したパスワードはお忘れのないようお客さまご自身で厳重に保管してください。

        -------------------------------------------------------------------------------------------------
        こちらのメールは以前アイドラッグストアーをご利用いただきましたすべてのお客様に送信しております。
        -------------------------------------------------------------------------------------------------

        アイドラッグストアー
        〒102-0083 東京都千代田区麹町4-5 KSビル6F
        Tel : 03-5213-3071
        Fax : 03-5213-3920
        email: idrug@ozinter.co.jp
        HP:http://www.idrugstore.com/
        Mobile HP:http://mobile.idrugstore.com/
        〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
        ----- ここまで -----

        ちなみに同様のメールが本日5/22にもきていました。
        でも個人情報、クレジットカード番号の漏洩があったことを知らせるメールはきてません。

        まぁ、だまってりゃ/.みるような人間以外は情報漏洩があったことに気がつかないだろうから
        積極的に告知したくないという気持ちはわからんでもないが・・・
        親コメント
  • by Anonymous Coward on 2008年05月23日 0時57分 (#1348562)
    正確な意味での「モラルハザード」事例ってことね。
    本当は良くあるはずだけど、初めて見た・・・

    #どうも、誤報らしいが敢えて書いてみる

typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...