規範となりうるか?セコムの対応事例(1) | ScanNetSecurity
2021.03.09(火)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

規範となりうるか?セコムの対応事例(1)

 実社会と同時にネット社会においてもセキュリティ企業として知られているセコム株式会社が運営するWeb、「セコムタウン」において個人情報漏洩の危険性があったことが明らかになった。  このことにより、セコムのネットセキュリティ技術に関してこれまで築いてきた信

特集 特集
 実社会と同時にネット社会においてもセキュリティ企業として知られているセコム株式会社が運営するWeb、「セコムタウン」において個人情報漏洩の危険性があったことが明らかになった。
 このことにより、セコムのネットセキュリティ技術に関してこれまで築いてきた信用は完全に無に帰したといってもよい。しかし、セコムは単にこの技術的な問題をクリアするだけではなく、脆弱性報告への対応、顧客への経過報告などにおいて努力し、これまで脆弱性を指摘されてきた多くの企業とは一線を画すインシデントマネージメントを見せ、汚名を返上した。
 この記事では、セコムの信用を凋落させた、セコムタウンにあった個人情報漏洩の問題点の詳細を報告し、また同時にセコムが信頼を回復すべく行った、インシデント対応のプロセスについて報告する。


[セコムタウンにあった情報漏洩の危険性]

 セコム(株)の運営するセコムタウン( http://www.secomtown.com/ )は、セコムの企業宣伝だけでなく、商品をネット販売しており、Webから登録できる会員制となっている。登録にあたっては、商品購入できるように、氏名、住所、メールアドレス、電話、Fax、携帯電話、生年月日、性別などを登録する。

 筆者はこの会員システムのセッション管理が不適切で、容易にセッションハイジャック(なりすまし)が可能であることに気づいた。セコムタウンではCookieによるセッション管理を行っていたが、このセッション管理用のIDとして登録者のメールアドレスを用いていたのだ。
 セッションIDは、ログイン中のユーザがIDとパスワードを再入力しなくとも認証できるように用いる符丁であるため、パスワードと同様他人に知られてはいけない情報であり、当然推測可能なものは使用できない。ところがセコムタウンで行われていたようにセッションIDとして会員のメールアドレスが用いられていた場合、メールアドレスは他人から推測可能な情報であり、推測したメールアドレスを勝手に符丁として用いれば、そのメールアドレスの持ち主かのようななりすましが可能となってしまう。

 セコムタウンでは次のような情報漏洩シナリオが実行可能であった。

 まず「メンバー登録内容更新」ページ
https://www.secomtown.com/sec/kaiin/kai_nyuryoku.asp
にアクセスする。この時点では未だログインしていないので全ての個人情報欄は空白のまま表示される。

 次にセッション管理用IDであるCookieをブラウザにセットするためにURL欄に、推測したメールアドレスを含めて、例えば
javascript:document.cookie='USER%5FID=office%40ukky%2Enet'
と入力する。この場合ブラウザの画面には
USER_ID=office@ukky.net
と表示されたはずである。

 最後にブラウザのバックボタンで
https://www.secomtown.com/sec/kaiin/kai_nyuryoku.asp
に戻り、リロードすれば、先ほどは空白だった個人情報欄は、なりすまされた会員(例ではoffice@ukky.netの持ち主)のUserID、パスワード、登録した氏名、住所、電話、Fax、携帯電話、生年月日、性別などが表示された。なお、クレジットカードの番号などはこのような方法で奪取することはできないシステムであった。


office
office@ukky.net
http://www.office.ac/

(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

ウイルスバスタークラウド(Windows 版)にコードインジェクションの脆弱性 画像

ウイルスバスタークラウド(Windows 版)にコードインジェクションの脆弱性
Apache Tomcat の脆弱性に対するアップデート公開 画像

Apache Tomcat の脆弱性に対するアップデート公開
CMS Made Simple において遠隔から任意のコード実行が可能となる Server Side Template Injection の脆弱性(Scan Tech Report) 画像

CMS Made Simple において遠隔から任意のコード実行が可能となる Server Side Template Injection の脆弱性(Scan Tech Report)
「kingjiim_」や「kingjim_officiall」一文字違いのキングジムSNS偽アカウントがDM送信 画像

「kingjiim_」や「kingjim_officiall」一文字違いのキングジムSNS偽アカウントがDM送信
VMware vCenter Serverに脆弱性、解説や影響を受けるシステムを探索する通信も確認 画像

VMware vCenter Serverに脆弱性、解説や影響を受けるシステムを探索する通信も確認
Movable Typeに複数のクロスサイトスクリプティングの脆弱性 画像

Movable Typeに複数のクロスサイトスクリプティングの脆弱性

インシデント・事故 記事一覧へ

JALマイレージバンク会員情報が漏えい、スイス SITA 社に高度に洗練された標的型攻撃 画像

JALマイレージバンク会員情報が漏えい、スイス SITA 社に高度に洗練された標的型攻撃
新型コロナウイルスワクチン接種予定者リストを誤送信 画像

新型コロナウイルスワクチン接種予定者リストを誤送信
ソフトバンク顧客情報を販売代理店店員が不正取得、別件で逮捕済み 画像

ソフトバンク顧客情報を販売代理店店員が不正取得、別件で逮捕済み
「知財総合支援窓口事業」委託先事業者がセキュリティポリシー逸脱しEmotet感染 画像

「知財総合支援窓口事業」委託先事業者がセキュリティポリシー逸脱しEmotet感染
委託先のアクセス制限誤り、佐賀市お問い合わせフォーム送信画像が閲覧可能に 画像

委託先のアクセス制限誤り、佐賀市お問い合わせフォーム送信画像が閲覧可能に
標的型攻撃に使われたMicrosoft Exchange Server の脆弱性に対し修正プログラムを定例外で公開 画像

標的型攻撃に使われたMicrosoft Exchange Server の脆弱性に対し修正プログラムを定例外で公開

調査・レポート・白書 記事一覧へ

2020年不正アクセスの実態を公表、犯行手口はフィッシングサイトからの入手が最多 画像

2020年不正アクセスの実態を公表、犯行手口はフィッシングサイトからの入手が最多
警察庁のサイバー空間脅威情勢、サイバー攻撃に新型コロナ関連情報が大いに悪用された2020年 画像

警察庁のサイバー空間脅威情勢、サイバー攻撃に新型コロナ関連情報が大いに悪用された2020年
警察庁 定点観測、Printer Job Language 標的とした探索行為再び増加 ほか 画像

警察庁 定点観測、Printer Job Language 標的とした探索行為再び増加 ほか
日経225企業の75%がドメインなりすまし未対策、ProofPoint 調査 画像

日経225企業の75%がドメインなりすまし未対策、ProofPoint 調査
日本の IoT シェア後退、総務省が 2019年実績 国際競争力指標公表 画像

日本の IoT シェア後退、総務省が 2019年実績 国際競争力指標公表
「電子サインを安全とは思わない」のは日本のビジネスパーソンの2割 画像

「電子サインを安全とは思わない」のは日本のビジネスパーソンの2割

研修・セミナー・カンファレンス 記事一覧へ

文部科学省「with コロナ時代の情報モラルを考える!」ウェビナー開催 画像

文部科学省「with コロナ時代の情報モラルを考える!」ウェビナー開催
ビジネス OSINT とは何か? 経営に正しく役立てる方法 ~ 日本ハッカー協会 代表理事 杉浦氏講演 画像

ビジネス OSINT とは何か? 経営に正しく役立てる方法 ~ 日本ハッカー協会 代表理事 杉浦氏講演
「アカウントは漏洩している前提で備えるべき」~ ソリトンシステムズが提案する「Soliton OneGate」とは 画像

「アカウントは漏洩している前提で備えるべき」~ ソリトンシステムズが提案する「Soliton OneGate」とは
ニューノーマルの3つの特徴と VMware が考える3つの包括的解決アプローチ 画像

ニューノーマルの3つの特徴と VMware が考える3つの包括的解決アプローチ
応募多数で参加枠2倍に「NRI Secure NetWars 2020」入賞者発表 画像

応募多数で参加枠2倍に「NRI Secure NetWars 2020」入賞者発表
明かされた「JNSAセキュリティ十大ニュース」の謎、選考委員長 大木 榮二郎先生に聞く 画像

明かされた「JNSAセキュリティ十大ニュース」の謎、選考委員長 大木 榮二郎先生に聞く

製品・サービス・業界動向 記事一覧へ

日立、PSIRT 向けに収集した脅威インテリジェンスを AI で選別 画像

日立、PSIRT 向けに収集した脅威インテリジェンスを AI で選別
SHIFT SECURITY 、Salesforce 向け無償セキュリティ診断開始 画像

SHIFT SECURITY 、Salesforce 向け無償セキュリティ診断開始
演習と CTF で人材育成 発掘、NECが教育サービス提供 画像

演習と CTF で人材育成 発掘、NECが教育サービス提供
川口洋氏や登大遊氏ら、2021年サイバーセキュリティ総務大臣奨励賞 受賞者 画像

川口洋氏や登大遊氏ら、2021年サイバーセキュリティ総務大臣奨励賞 受賞者
ワンビとネットアップ、総務省ガイドライン準拠し ADEC 消去証明書発行サービス 画像

ワンビとネットアップ、総務省ガイドライン準拠し ADEC 消去証明書発行サービス
LogStare がログ転送モジュール無償提供 、syslog 非対応アプリのログ収集可能 画像

LogStare がログ転送モジュール無償提供 、syslog 非対応アプリのログ収集可能

おしらせ 記事一覧へ

ScanNetSecurity システム更新のお知らせ 画像

ScanNetSecurity システム更新のお知らせ
特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄 画像

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄
ScanNetSecurity 創刊22周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊22周年御礼の辞(上野宣)
上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity) 画像

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity)
上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード) 画像

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード)
上野宣から編集長就任10周年の御礼 画像

上野宣から編集長就任10周年の御礼
Page Top
★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。
×