セキュリティホールからハッカー攻撃 頭を悩ます担当者(1) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.23(月)

セキュリティホールからハッカー攻撃 頭を悩ます担当者(1)

特集 特集

●認証システムがなく、誰でも税務書類の閲覧可能

2005年2月19日付けで、オハイオ州でソフトウェア開発を行うThink Computerが、オンラインで給与支払いサービスを行うPayMaxxのシステムのセキュリティに問題があり、2万5000人以上の社会保険番号などの個人情報を漏洩しているとのセキュリティ白書を発表した。

1979年創設のPayMaxxはテネシー州に本社を置く。給与支払処理を中心に、事業主の事務業務を行い、本分野では業界6位、数千件の顧客を抱える企業だ。他の同業者と違い、100%ウェブベースでオペレーションを行い、ハイテク産業のように既に自動経理システムを持つ企業にとって魅力的だとの評判がある。

顧客企業は50州にわたり、13万人の税金手続きに関わる。ウェブベースのオペレーションとは、クライアントサイドで、面倒な給与支払いのソフトを用いなくても、どこからでも給与支払い関連のインプットを行うことができるというものだ。サイトはパスワードで保護されていて、HTTPコネクションも暗号化されているので安全というのが“売り”だった。

さらにPayMaxxの魅力は、処理を行った作業のアウトプットが容易だという点だ。ウェブベースのシステムなので、米国の税務書類IRS W2フォームが、いつ、どこででも印刷できる。アドビのPDFファイルを用いたシステムであるためだ。

皮肉なことにThink Computerが発見したセキュリティホールはこのアウトプットに関するものだ。入力時の認証などは非常に細心の注意を払って構築されているが、W2フォームのほうは少し手薄だったという。

PayMaxxを利用していたThink Computerの取締役、グリーンスパンは、顧客の従業員への、オンラインで2004年のW2フォームが利用できるとの通知を受け取った。その中で、各従業員のコードがハイパーリンクされていた。調べてみたところ、コードを少し変えることで、自宅住所、給与支給総額、社会保険番号など他人の個人情報を閲覧、そして印刷できたというものだ。

PayMaxxでは各従業員のデータを順番に表に保存していた。そのため、会社でインプットを担当するなどの利用でPayMaxxのシステムを知っている人なら、IDコードの数字を変えると別の人のデータを見ることができると予測できたという。例えば従業員Aが、自分のデータは000-00-0000+従業員コードであるPIN000000、つまり000-00-0000+000000だとの通知を受けているとする。Aは他にも000-00-0000+PIN000001というように、他の従業員のデータを閲覧するためのコードを割り出すことが可能だった。コードからは、PDFフォーマットでのW2フォームの印刷が可能で、当然、W2には様々な重要な個人情報が記載されてあった。グリーンスパンはサイトにサインインして情報をリクエストする人が、本当に閲覧する権利があるか、アクセスする権利があるか確認出来るようにプログラムしているべきだったと主張する。

【執筆:バンクーバー新報 西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×