海外における個人情報流出事件とその対応 第192回 セキュリティ企業のWebサイトも安全性強化が必要か? (1)ハッキングの事実をブログで公表 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.18(土)

海外における個人情報流出事件とその対応 第192回 セキュリティ企業のWebサイトも安全性強化が必要か? (1)ハッキングの事実をブログで公表

国際 海外情報

 ウイルス対策ソフトの会社、カスペルスキーは2月10日、同社のWebサイトが同月6日に攻撃を受けたと発表している。攻撃されたのは米国向けサイトで、ドメインはusa.kaspersky.comだ。

 カスペルスキーは1997年創設のロシアに本社を持つ、セキュリティソリューションを提供するソフトウェア開発企業だ。同社Webサイトによると、ロシアのほか、英国やフランス、ドイツ、オランダ、日本、中国、韓国、米国、ポーランド、ルーマニアに事業所を展開している。また、パートナーネットワークは世界60カ国で500社に達するそうだ。

 13日付け日本語版プレスリリースによると、ルーマニアのインターネットサービスプロバイダのIPアドレスから、当該サイトのサブセクションに対し、数回にわたってSQLインジェクション攻撃が行われたという。カスペルスキーでは、攻撃の対象となったサポートセクションを2009年1月末に新バージョンに切り替えたものの、このバージョンに脆弱性が含まれていた。

 攻撃後直ちに、同社セキュリティスペシャリストが徹底的にシステムの調査を行った。「サイトは非常に短い時間、脆弱な状態だった」と、攻撃開始から30分以内に脆弱性を修正したと説明している。そしてサイトへの侵入はあったものの、情報漏えいはなかったことが確認されたという。

 カスペルスキーの説明に反して、攻撃を行ったハッカーは"HackerBlog"上で「ユーザの個人情報」および「アクティベーションコード」にアクセスできたと主張している。一方、カスペルスキーは「ユーザの個人情報やアクティベーションコードをはじめとする情報が漏れた事実はなかった」という姿勢だ。

 さらに、「スペシャリストが迅速に対応して、Webサイトの脆弱性は直ちに修正された」としている。英語版のプレスリリースでは、脆弱性が判ってから30分以内という短時間に修正を行ったと述べている。また、攻撃の範囲については、「Kaspersky Lab が運営するその他の公式Webサイトおよびオンラインストアについても、この攻撃による影響を受けていない」という。

●ハッカーが漏えいの証拠をブログで発表

 『The Register』はHackerBlogに7日付けで、攻撃したハッカーが、データベースへのアクセスに成功したことを証明するスクリーンショットと、その他詳細をポスティングしていると報じている。このハッカーはunuという名前でポスティングしている。

 unuは単純なSQLインジェクションにより、ユーザの有効化コードなどを含むデータベースにアクセスができたと主張している。「パラメーターを変えることで、(データベース)の全てにアクセスができるようになった」として、100件をはるかに超える表の名称を発表しており、中には"users"や"retail_users"、"e-mail list"といった興味深い名称がある。

 データが本当に漏えいしたのかメールでカスペルスキーに問い合わせたが、「(プレスリリースに)発表したとおり」だという姿勢だった。『The Register』でもカスペルスキーにコメントを求めたが得られなかったようだ。また、サイト管理者のTocsixuによると脆弱性を最初に発見したハッカー(unu)は、カスペルスキーの従業員から返答が得られなかったために(ブログで)発表したと言う。

 ハッカーによるアクセス成功の証拠を見たセキュリティ専門家2名が、ハッカーの主張は説得力のあるものだと話していると伝えている。スクリーンショットを見たセキュリティプロバイダMatasanoのThomas Ptacek研究員は、攻撃はカスペルスキーのテクニカルサポートと知識基盤に対するものだったとの考えを示した。

 さて、HackersBlogのスクリーンショットに極秘情報が含まれていたか気になるところだが、個人の詳細や有効化コードが含まれるものは「表の名称のみ公表する」として、発表していない。また、HackersBlogの管理者なども極秘情報を見た可能性があり、『The Register』がそのリスクについて質問しているようだが、「スタッフは極秘データを保存することはない」として、同サイトではセキュリティに問題のあるWebサイトに対して指摘を行っているだけだと語っている。

●カスペルスキーは情報漏えいを否定

 カスペルスキーのプレスリリースでは、漏えいの事実なしという内部調査の結果を裏付けするために…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

    WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  2. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

    スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

  3. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

    インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  4. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  5. SMSによる二要素認証が招くSOS(The Register)

  6. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  7. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  8. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. 搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×