HackerSafe証明済みサイトでカード番号漏洩発生、原因はSQLインジェクション 32
ストーリー by wakatono
張子の虎? 部門より
張子の虎? 部門より
あるAnonymous Coward 曰く、
先月のサウンドハウス事件が記憶に新しいが、類似の事件が、化粧品通販サイトアイビューティーストアーなどで発生したと共同通信の記事が伝えている。記事によると、流出件数は2万件に達する可能性があり、漏洩したカード番号がネットゲームで不正使用されたケースが既に数十件確認されているという。同店を運営するオズ・インターナショナル社は5月20日に「不正アクセスに関するお詫びとお知らせ」を発表しており、それによると、同社の他店アイドラッグストアーの利用者も対象で、流出した情報は、クレジットカード番号と有効期限の他に、ログインパスワード等が含まれるとされている。
サウンドハウス事件では、社長名義で発表された詳細なお詫び文(PDF)の中で、「HackerSafeを導入してセキュリティ対策は万全と思っていたが、今回の流出には全く功を奏しなかった」という趣旨の記述があったのが印象的だったが、今回の被害サイトアイビューティーストアーにもHackerSafeのロゴが貼られており「検査済み」と表示されている(トップページ左下や、ログインページなど)。
HackerSafeの有効性を巡っては先月のストーリーでも議論になっていたが、海外でも物議を醸しているようだ。5月1日のZDNet Japanの翻訳記事「HackerSafe証明書に偽りあり?」によると、HackerSafe証明書が掲げられたサイトに次々とクロスサイトスクリプティング(XSS)脆弱性が発見されており、その事実に対して、HackerSafeの販売元であるMcAfee社の広報担当者は、「XSS脆弱性はSQLインジェクションやその他のセキュリティホールよりも危険度を低く評価しているため、XSS脆弱性が存在してもHackerSafeに不適合としてはおらず、McAfeeがXSS脆弱性を特定した場合には顧客に通知して啓蒙している」と説明したそうだ。
HackerSafeがどういうものかは、同サービスのWebサイトで説明されている。それによると、HackerSafeは「世界主要カード会社が定めたPCI-DSS(ペイメントカード業界データセキュリティ基準)、VISAが定めているAIS/CISP、MasterCardのSDPや、米国連邦政府系機関、また国際的かつ最高水準のセキュリティ基準に準拠・適合しています」とのことで、診断項目リストによると、「各Webアプリケーションに対しても検査することができます」とのことで、「クロスサイトスクリプティング」「CGIとFROM処理の脆弱性(SQLインジェクションを含む)」が列挙されている。
今回のアイビューティーストアーの被害で、HackerSafeはどのような効果を発揮したのだろうか。同サイトがいつからHackerSafeを導入していたかは不明なので、SQLインジェクション攻撃を受けた時点でHackerSafeが安全と表示していたかは定かでない。オズ・インターナショナル社の説明や、HackerSafeの日本代理店である三和コムテック社の説明に期待したい。
HackerSafeによるチェック漏れなのか、それともHackerSafeによるチェック自体は有効に機能していたにもかかわらずリスクを過小評価していたのか、考えられる要因はいくつもあるが、今回のケースはどうなんだろうか。
海外の事例 (スコア:4, 参考になる)
米国では過去にも事例があったようです。 SANS NewsBites、@RISKサマリー版 [index.jp]
海外における個人情報流出事件とその対応 第168回 セキュリティお墨付きサイトも [netsecurity.ne.jp] 2008年03月04日
やられた後に導入したらしいです (スコア:4, 参考になる)
http://internet.watch.impress.co.jp/cda/news/2008/05/22/19656.html
> また、改善の一環として、サイトの脆弱性を検査し、安全性を証明するサービス
>「HACKER SAFE」を導入。しかし、一部のサイトでは、オズ・インターナショナルの
>情報流出を伝えるにあたり、「HACKER SAFE証明済みのサイトでカード番号漏洩発生」
>などと紹介されたことから、「HACKER SAFE開発元のマカフィーと、その販売代理店が
>誤解を受けてしまった。現在は一時的にHACKER SAFEを取り下げられてしまっている状
>況」(大関社長)という。
Re: (スコア:0)
Re:やられた後に導入したらしいです (スコア:1, 興味深い)
優しい人ですね
でも変える必要は無いと思います
理由は2つ
・事実保護されているはずならば、己のブランド最優先で
認定取り消しという証明ソリューションなんて…
信用出来ないという意味で晒しておいてほしいところ
・そもそも、このサイトにはまだ脆弱性が存在するのでは?
HackerSafeの保護対象で無いという言い訳は可能ですが、
どこまで保護対象か利用者に解らない安全を謳っていた点
そこに問題があると指摘されているわけですよね
いやそうでもないような、公式見解が出てた (スコア:0)
「やられた後に導入した」って明確に書かれているわけでもないよなあ。たしかに「改善の一環として・・・導入」がそういう意味に読めるけど。
で、ハッカーセーフから公式見解が出てたんだけど、
一部報道に関する見解について [hackersafe.jp]
え? (スコア:2, おもしろおかしい)
# 油断しきってるでしょうし。
## 学生時代に英語で赤点以外とったことが無い奴は黙ってろ。
金庫(Re:え?) (スコア:1)
いやいや、ハッカーの金庫、すなわち溜まり場ですな。
Best regards, でぃーすけ
(つд⊂)ゴシゴシ→(;゚ Д゚) (スコア:2, おもしろおかしい)
FROMの処理なら仕方がないですね~。ちなみに上の方にはFormって書いてあるけど診断項目ではないという方向で。
安全証明としての価値 (スコア:1)
Re:安全証明としての価値 (スコア:2, すばらしい洞察)
Re:安全証明としての価値 (スコア:1, すばらしい洞察)
ヌルかろうがアマかろうが十分役目を果たせる
問題は誰が責任を持つかって部分
Re:安全証明としての価値 (スコア:2, おもしろおかしい)
制度上の要件を満たさない運用をしている事業者を認定しちゃって、
それにより個人情報漏洩が発生しても、責任を負うのは事業者だけで、
財団法人日本情報処理開発協会は何ら責任を負いません。
安心ですね。(認定を出す側のリスク的には、)
Re: (スコア:0)
なんだろうね。きっと。
Re: (スコア:0)
「XSSがあるじゃないか!」→「検査はしておりますが、表示には反映しておりません。」
本当は検査もしてないって読むのが普通じゃないですか。
優良誤認表示? (スコア:1, 参考になる)
優良誤認表示 [jftc.go.jp](公正取引委員会)なんじゃないかと思ったのですが、不当表示防止法は、あくまで一般消費者向けの表示に関するものなのですね。
サウンドハウスのとき、Hacker Safeの謳い文句を挙げて不満を垂らしていましたが、その不満も、よく読むと、
と書かれてるのですね。「ユーザー」がサイト経営者のことなのか、一般消費者のことなのか。一般消費者のことを言っているなら、優良誤認表示など不当表示防止法で取り締まられ得るところかもしれないけれど、ユーザーがサイト経営者のことを言っているなら、一般消費者じゃないので、契約の問題ですね。一般消費者と違って会社の場合は、綺麗な言葉を並べられて買ってしまったものが役に立たなかったとしても、自己責任なんですかね、法的には。
こうですか? わかりません>< (スコア:1)
『やだなあ、Hackerを防げないわけないじゃないですか 今回は相手がCrackerだったんですよ。』
#第十三集もやっぱりアレです
なんというお約束w (スコア:0)
これ影響範囲はどこまで? (スコア:0)
教えてエロい人!(損害賠償) (スコア:0)
店側が損害賠償を請求したら勝てますかね?
Re:教えてエロい人!(損害賠償) (スコア:1)
Re: (スコア:0)
Re:教えてエロい人!(損害賠償) (スコア:1, 参考になる)
裁判すれば契約内容以上の責任を負わされる可能性があるね。
誤解した方も悪いけど、誤解させた方も悪い。
SQLインジェクションだとするソースは? (スコア:0)
Re:SQLインジェクションだとするソースは? (スコア:4, 参考になる)
書き換え前(2008年5月20日 14:33:38 GMT) [209.85.175.104]: 書き換え後(2008年5月22日現在) [ozinter.com]:
Re:SQLインジェクションだとするソースは? (スコア:2, 参考になる)
オズ・インターナショナルの通販サイトで個人情報漏洩 - カードの不正利用も [security-next.com]
あと、ハッカーセーフは、アイビューティーだけじゃなくて、アイドラッグストアも登録されていた。
私が確認したときには、アイコンは無かったけれども、証明書が発行されてた。
と思って、確認しにいったら、「オズインターナショナル」「アイビューティー」「アイドラッグストア」の3つとも、アイコンが無くなって、証明書も発行されなくなってる。
5月20日深夜の時点だと、まだついていたんだけどね。
(このページに当時のアイコンのSSがある [rakuten.co.jp])
Re:SQLインジェクションだとするソースは? (スコア:1, 参考になる)
21日の朝に見たときはリンク先にSQLインジェクションと書かれてました。
発覚は4月中旬 (スコア:0)
一か月も準備期間があったにしては、告知文を翌日に書き換えたりと慌ただしいですね。
Re:発覚は4月中旬 (スコア:1)
告知によってはじめて不正利用に気がついた、という人も多くいるかもしれません。
このような場合、すでにカードの引き落としがされているということもあえります。
意図的に告知を遅らせたのであれば、問題です。
もちろん、事実確認をしていたということもありえますが。
#しかしカード会社はどのように"指摘"したのだろう。
Re:発覚は4月中旬 (スコア:1)
中の人の動きが詳細に書かれています。
Re:発覚は4月中旬 (スコア:1)
ここまで詳細な動きが記載されているとは思いませんでした。
各社の対応など、勉強になります。
#PDFである必要はないのに。
Re:発覚は4月中旬 (スコア:1, 興味深い)
過去にアイドラッグ利用したことがあったのですが、セキュリティ強化のためといって
パスワード変更の依頼メールが4/24 に突然きてました。
(この時点で「やられたかな」とは思ってましたが・・・)
----- ここから -----
お客様各位
平素はアイドラッグストアーをご利用いただきまして、誠にありがとうございます。
この度、セキュリティ強化のためログイン機能の見直しを行っております。
そこでログインの際のパスワードの変更をお願いしております。
弊社では、より一層お客様に安心してご利用いただけるサービスをご提供できるよう
努力してまいりますので、今後ともよろしくお願いいたします。
----------------------------------------------------------
【パスワードの変更はこちら】
◆https://www.idrugstore.com/edit_pass/edit_pass01.asp
----------------------------------------------------------
注意事項
※ パスワードは8文字以上、英数字を各1字以上は必ず含めて下さい。
※ パスワード変更のページでは、暗号通信方式(SSL)を採用しています。SSL対応のブラウザをご利用ください。
※ 変更したパスワードはお忘れのないようお客さまご自身で厳重に保管してください。
-------------------------------------------------------------------------------------------------
こちらのメールは以前アイドラッグストアーをご利用いただきましたすべてのお客様に送信しております。
-------------------------------------------------------------------------------------------------
アイドラッグストアー
〒102-0083 東京都千代田区麹町4-5 KSビル6F
Tel : 03-5213-3071
Fax : 03-5213-3920
email: idrug@ozinter.co.jp
HP:http://www.idrugstore.com/
Mobile HP:http://mobile.idrugstore.com/
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
----- ここまで -----
ちなみに同様のメールが本日5/22にもきていました。
でも個人情報、クレジットカード番号の漏洩があったことを知らせるメールはきてません。
まぁ、だまってりゃ/.みるような人間以外は情報漏洩があったことに気がつかないだろうから
積極的に告知したくないという気持ちはわからんでもないが・・・
油断があったということは・・・ (スコア:0)
本当は良くあるはずだけど、初めて見た・・・
#どうも、誤報らしいが敢えて書いてみる