Security, time after time II

情報セキュリティについてのあれこれ。テクノロジー、法制度、安全保障、経営とマネジメントなどなど。




※ブログにおける記述・発言等は私見であり、所属組織等の見解ではありません。


テーマ:
こんばんは。

久しぶりに?SQLインジェクションによるクレジットカード情報の漏洩が話題になっていますね。今回の場合は数だけでなく流出した情報が、①カード名義人名、②カード番号、③カード有効期限、④セキュリティコード、⑤お申込者住所といった「悪用するために必要な情報全部入り」のような状態だったのがまずかったですね。実際に不正使用の被害も出ているようです。

SQLインジェクションに関する脆弱性がアプリケーションに存在したことはもちろん問題なわけですが、こうした事件が起きた場合は事後対応についてもかなりしっかり行う必要があり、企業のイメージや評判なども、これによって大きく左右されることがあります。その意味で今回のケースはちょっと問題が多めな気がします。

1) 4月23日に問題が発覚してから、公表まで約1ヶ月が経過していますが、近年の漏洩事件への対応としては遅すぎます。ソニーの事件で公表まで5日程度かかっただけでも非難されたわけですから、なぜこんなに遅くなったのか、と思います。委託したセキュリティ会社が5/21に最終報告を出したと書いてありますが、その道のプロならおおむねやられていることは、せいぜい数日でわかると思いますし、中間報告もしているでしょう。その時点で何らかの発表があってもよかったと思います。

2)「同日直ちに、本サイトの申し込みの停止及びデータベースサーバー内のクレジットカード情報の削除を行い、その後はオンラインでのクレジットカード決済を停止いたしました。」とありますが、この対応もあまり感心しません。証拠保全や追跡のことを考えるとデータを消さずとも、ネットワークから切り離して隔離する、データベースに対して新規のセッションを張れなくするなど他の方法があったはずです。

3)「データベースサーバーに接続するためのID及びパスワードの全ての変更をしております。」とありますが、そもそもSQLインジェクションでアプリケーションの接続ID・パスワードが持つ権限を使われているのですから、データベースのパスワードを変えても、直接的には意味がありません。

4)あらたな対策として以下を実施したとあります。

・SQLインジェクション対策などアプリケーションの脆弱性修正および強化
・不正侵入監視および不正侵入防御機器の設置
・ネットワーク構成の再設計

データベースに対してSQLを使った攻撃を受けたにもかかわらず、なぜデータベース自体には何の対策もしないのでしょうか??ログの取得、権限や構造の見直し、暗号の利用などID・パスワード意外にも、安全なシステムにするためにやるべきことはたくさんあるはずなのですが。

5) 根本的な問題として④セキュリティコードって保管しておいてはいけない情報だと思いますが。なぜにデータベース内で保管されていたのでしょうか。PCIDSSの取得をめざしていたと書いてありますが、ならばなおさらダメだと思うのですが。(要件上はセンシティブ認証データの1つで、処理が終わった後は削除しなければならない。)

6)「従来はクレジットカード情報をお申し込み時にいただいておりましたが、平成25年4月23日23時よりクレジットカード情報をお申し込み時にいただかない運用に切り替え、当社空港カウンターでの対面決済のみで取り扱いしております。」

という記述は完全に理解できませんが、決済する以前にカード情報を入手していたということですか?現在のように対面で借りるときに決済すれば良いならなぜそんなリスクのある業務プロセスになっていたのでしょうか。(効率化・窓口業務の迅速化のため?)システムだけではなく業務のやり方そのものがリスクを抱えている場合もあるということだと思います。

と、感じた疑問点を列挙してみました。トラブルは起きてしまうことがありますが、その事後対応をきちんとできるように、日頃から検討しておきたいですね。そして十分な対応ができないのなら、リスクを抱えるべきではないという判断が必要だと思います。

・・・長いっ。
AD
いいね!した人  |  リブログ(0)

Haruto Kitano (北野晴人)さんの読者になろう

ブログの更新情報が受け取れて、アクセスが簡単になります

AD

Ameba人気のブログ

Amebaトピックス

      ランキング

      • 総合
      • 新登場
      • 急上昇
      • トレンド

      ブログをはじめる

      たくさんの芸能人・有名人が
      書いているAmebaブログを
      無料で簡単にはじめることができます。

      公式トップブロガーへ応募

      多くの方にご紹介したいブログを
      執筆する方を「公式トップブロガー」
      として認定しております。

      芸能人・有名人ブログを開設

      Amebaブログでは、芸能人・有名人ブログを
      ご希望される著名人の方/事務所様を
      随時募集しております。