三菱UFJニコス、OpenSSLの脆弱性を狙った攻撃を受けて会員情報が不正に閲覧される 53
ストーリー by headless
泥縄 部門より
泥縄 部門より
三菱UFJニコスは18日、クレジットカード会員専用WebサービスがOpenSSLの脆弱性を狙った攻撃を受け、延べ894名分のWeb会員情報が不正に閲覧されたことを発表した(三菱UFJニコス: 重要なお知らせ、
三菱UFJニコスの発表: PDF、
朝日新聞デジタルの記事、
ITmediaエンタープライズの記事、
毎日新聞の記事)。
不正アクセスが検知されたのは11日6時33分。調査の結果、OpenSSLの脆弱性を狙ったものであることが特定されたという。同社は14時30分からWebサービスを停止してOpenSSLをアップデートするなどの措置を行い、翌12日7時48分にWebサービスを再開したとのこと。該当する会員にはすでに電子メールや手紙、電話などで連絡済みだという。OpenSSLの脆弱性が原因で実際に情報が流出したのは国内初のようだ。
不正アクセスにより閲覧されたのは、カード番号の一部および氏名、生年月日、住所、電話番号、電子メールアドレス、カード有効期限、WebサービスのID、カード名称、入会年月、利用代金支払口座、勤務先、勤務先電話番号など。Webサービスのログインパスワードおよびカードの暗証番号は閲覧されていないという。また、カード番号は一部が非表示になっているため、不正利用される可能性は低いとしている。
毎日新聞の記事によると、同社ではOpenSSLの脆弱性が公表されたことを受けて対応策の検討を開始しており、暫定的に対処するソフトを不正アクセスが検知される直前に導入していたという。しかし、対策を行う前から攻撃は始まっていたようで、状況からみて9日夜から侵入されていたと考えられるとのことだ。
不正アクセスが検知されたのは11日6時33分。調査の結果、OpenSSLの脆弱性を狙ったものであることが特定されたという。同社は14時30分からWebサービスを停止してOpenSSLをアップデートするなどの措置を行い、翌12日7時48分にWebサービスを再開したとのこと。該当する会員にはすでに電子メールや手紙、電話などで連絡済みだという。OpenSSLの脆弱性が原因で実際に情報が流出したのは国内初のようだ。
不正アクセスにより閲覧されたのは、カード番号の一部および氏名、生年月日、住所、電話番号、電子メールアドレス、カード有効期限、WebサービスのID、カード名称、入会年月、利用代金支払口座、勤務先、勤務先電話番号など。Webサービスのログインパスワードおよびカードの暗証番号は閲覧されていないという。また、カード番号は一部が非表示になっているため、不正利用される可能性は低いとしている。
毎日新聞の記事によると、同社ではOpenSSLの脆弱性が公表されたことを受けて対応策の検討を開始しており、暫定的に対処するソフトを不正アクセスが検知される直前に導入していたという。しかし、対策を行う前から攻撃は始まっていたようで、状況からみて9日夜から侵入されていたと考えられるとのことだ。
事件前後の月日の記録と、住信SBIの例 (スコア:4, 興味深い)
日本時間4月9日頃にOpenSSLバグの記事はネットに流れていると思います。
4月12日朝の時点で(三菱東京UFJ銀、三井住友銀行、住信SBIネット)の
三つは公式サイト表紙にOpenSSLへの注意書きが出てなかったことを確認しました。
4月12日に住信SBI銀行に問い合わせメールを出したら
16日に「報道されておりますOpenSSLの脆弱性に関しまして、当社サイトのご利用にあたり、
お客さまのお取引に影響のあるセキュリティ上の問題はない...(後略)」
という要旨の返事が来ました。
その返事の少しあとに住信SBI公式サイト表紙にopenSSLバグへの注意書きが出たはず。
ということで住信SBIも今回おそらく無傷だろうけど対応は遅い印象。
三菱、三井、住信ともしっかりやってほしいです。
なお米国銀行事情を書いた英文記事みると、
American Banker [americanbanker.com] の記事(4月11日)だと
Citigroupが「安全ではない様子」と判断されてます。
Re:事件前後の月日の記録と、住信SBIの例 (スコア:3, 参考になる)
という感じですね。一方、警察庁の注意喚起 [npa.go.jp]が出たのは10日で、新聞やテレビが大きく取り上げ始めたのはそのあとだったと思います。
Re:事件前後の月日の記録と、住信SBIの例 (スコア:2)
ご指摘ありがとう。すると国内IT系メディアが4月8日に報道しているなら
4月12日で三菱、三井、住信ともサイトの表紙に警告を出してないのは本当に遅いですね。
(内部の対応は別として、利用者一般に状況を知らせてない意味で)
Re: (スコア:0)
問題が出てないことについて公表することはないのが銀行
問題が出ても内部確認とかで概要を出すのに一週間以上かかるのが銀行
ちなみに詳細はでないことが多い
そう思ってるならサービス停止して対応しろよ、 (スコア:3, 参考になる)
>対策まで時間がかかったのは認識している。対策が完了する前に攻撃された。痛恨の極みだ
Re:そう思ってるならサービス停止して対応しろよ、 (スコア:2, 興味深い)
でも、止まったら、なんで止めたんだよって怒るんでしょ?
Re: (スコア:0)
怒られるだけだろ
Re:そう思ってるならサービス停止して対応しろよ、 (スコア:1)
カード決済の引き落とし不能はブラックリストに載せられてご当人の将来的な与信とか信用にまで無用な影響
を残してしまうことを考えれば、漏洩した人たちを至急特定してそちらを規定通り保障してあげたほうがとも
思うけどね。 停止すればいいというもんじゃないよな。
Re: (スコア:0)
会員向けのWebサービスが数日止まっても問題ないだろ。
加盟店向けじゃないからな。
Re: (スコア:0)
セキュリティ対策なんかやるだけ無駄なのか? (スコア:3, 興味深い)
監視カメラをたくさん置いて監視してなければ不審者も泥棒も発見出来ないんだからネットだって同じことだ。
今回みたいな攻撃を検知するにはそれなりの設備が必要だし、中小企業レベルではそもそも不可能だろう。
発見して公表した企業よりも、音沙汰ない企業に対してどのように安全性を担保しているのか追求する風潮にならなければ、この先日本でのセキュリティ意識は向上しないんじゃなかろうか。
Re:セキュリティ対策なんかやるだけ無駄なのか? (スコア:3, 参考になる)
そこで、IPAでは一般ユーザーに対して、ウェブサイトに確認するようアナウンスしています。
OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について
https://www.ipa.go.jp/security/ciadr/vul/20140416-openssl_webuser.html [ipa.go.jp]
OpenSSL脆弱性バグ確認ツール (スコア:1)
ウェブサイトに問い合わせてもなかなか教えてくれないので、自分で調べた。
ググる先生に聞いて、http://web-aqua.jp/internet/2459/ 経由。
OpenSSL脆弱性バグ確認ツール
COMODO SSL Analyzer [slashdot.jp]https://sslanalyzer.comodoca.com/
URLを入力して、「Heartbeat」欄にに出力されるデータを確認してください。
<脆弱性のあるバージョンで修正パッチが適用されていない場合>
Vulnerable to Hearbleed attack INSECURE
=危険
<脆弱性のないバージョンの場合>
Heartbeat Not Supported Immune to Heartbleed attack
=問題なし
<脆弱性のあるバージョンで修正パッチを適用済みの場合>
Heartbeat Supported Immune to Heartbleed attack
=パスワード変更推奨
だそうです。とりあえずメインのクレジットカード会社は問題なしだった。
でも、アナウンスがないので過去はわからない。。。
安全を考えると、「問題なし」の結果でもパスワード替えたほうが良いのかも。
Re:OpenSSL脆弱性バグ確認ツール (スコア:1)
https://sslanalyzer.comodoca.com/ [comodoca.com]
あれ?何度か編集してたらリンクが変になってた。
上記URLが正しいです。
Re:OpenSSL脆弱性バグ確認ツール (スコア:2, 興味深い)
この「脆弱性バグ確認ツール」での確認が、Heartbleedアタックと誤認される恐れはないですかね?
やってることはアタックそのものだと思われますし。
(三菱UFJニコスの件もそうだったりして)
Re:OpenSSL脆弱性バグ確認ツール (スコア:1)
誤認か。。。一年以上も拘束されるのはいやだなぁ。
ま、大丈夫じゃないですか?警察じゃあるまいし(笑)企業ならちょっとは調べるでしょう。
Re:OpenSSL脆弱性バグ確認ツール (スコア:2)
MDISっていう三菱系のベンダーがやらかした事をわすれたか?
Re: (スコア:0)
警察より酷い企業なんていっぱいあるぞ?
つか、ふつーに数と露出考えたらわかるやろ。
Re:OpenSSL脆弱性バグ確認ツール (スコア:1)
あー!そうですね、忘れてました。
へっぽこ企業と警察コンビで大変な目に遭うって実例が。
でも、直接企業のサイトを覗いたわけでなく、アクセスしたのはcomodoca.comになるので大丈夫じゃないかと。
Re:OpenSSL脆弱性バグ確認ツール (スコア:1)
主役ではない裏方脇役にも渋いところがいます。
JIS Q 15001 を貴社が取得できるお手伝いしています、チョロいです、みたいな会社があるわけですが、制度設計にかかわった情報処理推進機構はなんなんだか。プライバシーマーク制度を売り物にしたい会社を養っているがごとき扱いに頬かむりしている。
などということも岡崎市立図書館の話題が賑わった当時に明らかになっていたり。現在は状況変わったんでしょうかねえ。情報処理推進機構なんだかなーと思っていますが組織の当人たちにとっては汚点などではないということか。
Re: (スコア:0)
http://www.npa.go.jp/cyberpolice/detect/pdf/20140410.pdf [npa.go.jp]
警察庁の定点観測システムにおいても(略)このことから、同攻撃コードを使用して、脆弱性が存在するサーバ等の探索が実施されているものと考えられます。
と
http://www.symantec.com/content/ja/jp/enterprise/images/outbreak/Heart... [symantec.com]
脆弱なWeb サイトに対するスキャンは広く行われていますが、そのスキャンのほとんどは
Re: (スコア:0)
この場合、アタックはcomodo caがしたことになるのでは?
サイバーノーガード戦法は日本の裁判所も認める正当なセキュリティ対策です (スコア:0)
でも海外の企業・金融機関・政府と取引する時は、日本の慣行が通用しないこともあるのでね。
理解に苦しむ (スコア:1)
今回の脆弱性は1.0.1のみで1.0.0は影響がない。
1.0.0から1.0.1にバージョンアップする勇気があったのに
1.0.1にセキュリティアップデートをあてるのを
ためらった理由はなんなんだろう?
RHEL 6.5で作られたシステムなのかな?
Re: (スコア:0)
なぜ1.0.0から1.0.1に迅速にアップデートしていたと思うの?
最初から1.0.1で作ったシステムかもしれないし、
常に最新版をキープし続けていたなんて情報どっかにあった?
1年前にアップデートしていても1.0.1なんだぜ。
Re:理解に苦しむ (スコア:1)
銀行屋さんが出たばかりのマイナーバージョンを主軸にして
システム開発したとはとても思えないんだけど。
彼らはどっちかと言うと、枯れた技術を好むし
のんびりした対応だな (スコア:0)
なんで対処するソフトを入れる前にバージョンアップしなかったんだろ
OpenSSLはとっくに対応版あがってる頃だし なくてもHeartbeat拡張オフにすればいい
大手の対応なんてそんな程度といえばそうなんだけどさ
Re:のんびりした対応だな (スコア:1)
なにかあったらオンにすれば戻せるわけだし。
不正なパケット検出する仕組みとかはないのかな?サードパーティファイアウォール/ウィルス対策入れとけば大丈夫とか。
それはそれで影響でかそうで承認まで時間かかるだろうけど。
Re: (スコア:0)
その「なにかあったら」で責任を問われるんだからそりゃ慎重にもなるわな。
情報盗まれるならサービス止まる方がまし、ってサービスする側も受ける側も、ひいては世間が意識を変えないとどうにもならん。
Re: (スコア:0)
知っている限りで言うとパロアルトが脅威防御シグネチャを提供 [paloaltonetworks.jp]と言ってます。
※実はリンク先見てないww
たしか他社のNFWでもチェックできるという話を聞いたような気がするんだけど………行ったイベントで言うとHPかな?
Re: (スコア:0)
再コンパイルしてインストールし直しだし、そう簡単にオン・オフ切り替えられるわけじゃないでしょ。
どういうやり方でOpenSSLをインストールしたのかわからないが、自分なら普通にパッケージ管理で更新する。
さすがに金融機関のサーバーOSならサポート付きだろうし、サポート企業の指示の下、迅速に実施出来たと思うけどなぁ。
Re:のんびりした対応だな (スコア:1)
バージョンアップしたらとたんに動かなくなることがあるからなかなかそういうことはできないのよ
単体テストだけじゃあミドルウェアのバージョンアップには対応できないから人力でのテストもいるし
Re: (スコア:0)
実施承認までのプロセスに時間がかかるんでしょう
大手なら余計に。
Re:のんびりした対応だな (スコア:1)
きっと侵入される前にサーバーを落としてくれたに違いない。
Re: (スコア:0)
外から見ると導入中のOpenSSLの更新と暫定的に対処するソフトとやらの新規導入なら
新規導入の方が実施まで時間かかりそうなもんですがこのあたりは憶測しかできませんね
故意と思われても仕方がない (スコア:0, オフトピック)
発見された当日には攻撃ツールが出回ってる状況で
4日もパッチ当てずに放置とか故意と思われても仕方がない
Re:故意と思われても仕方がない (スコア:2)
ブランドどれ? (スコア:0)
あの会社、名前の通り三菱・UFJ・ニコスがろくに統合されずにバラバラなんだけど、被害にあったのどのブランドなんでしょうね?
Re: (スコア:0)
どこかでMUFGカードとニコスカードと見たんだけど………WSJですね [wsj.com]
ただ、JCBブランドのロゴだとMyJCB使うところもあるし(UFJニコスだと限度額まで別管理だったりするので丸投げなんだろうなぁ)、MUFGカードとUFJカードは同じシステム使っているハズなので、WSJの記事には微妙な違和感を覚えています。
かと言って「DCカードは無事、繰り返すDCカードは無事」とも言えないとおもうけど。
※合併のあおり食らって総割賦枠>ショッピング枠 [no-ip.org]だった人
Re:ブランドどれ? (スコア:2)
Re:ブランドどれ? (スコア:1)
Webサービスを停止したという範囲ならば、DC/VISAの三菱東京UFJ-VISAもです。
こちらは、不正閲覧に関する情報はないのに、なぜかパスワード変更を推奨しています。
http://www.bk.mufg.jp/credit/minasama/news/info_service140411.html [bk.mufg.jp]
http://www.bk.mufg.jp/credit/minasama/news/info_service140414.html [bk.mufg.jp]
Re: (スコア:0)
> なぜかパスワード変更を推奨しています。
なぜかではなくごく普通の対応です。
Re:ブランドどれ? (スコア:1)
Re:ブランドどれ? (スコア:1)
UFJカードはMUFGカードにブランドが変更 [cr.mufg.jp]されてます。
ブランド変更前の券面のカードは残ってるんでしょうけど。
Re:ブランドどれ? (スコア:1)
UFJ-JCBはFCなので与信管理はJCB丸投げですが、MUFG-JCBは加盟店開放なので原則的には自社管理のはずですね。
#ただしソースはWikipedia
既に前者は後者に統合済みとは思いますが。
本当に侵入されていたの? (スコア:0)
> 状況からみて9日夜から侵入されていたと考えられるとのことだ。
CVE-2014-0160 の問題は侵入しなくても、細工したパケットを投げれば良いのでは?
Re:本当に侵入されていたの? (スコア:5, 参考になる)
piyolog 三菱UFJニコスがOpenSSLの脆弱性を突かれて不正アクセスを受けた件をまとめてみた
http://d.hatena.ne.jp/Kango/20140419 [hatena.ne.jp]
に挙げられている一連の徳丸さんのツイートより。
https://twitter.com/ockeghem/statuses/457680470092693505 [twitter.com]
つまり、
・CVE-2014-0160 によるもの以外に実際に不正アクセスが存在していると思われる
・CVE-2014-0160 による直接の被害範囲は不明だと思われる
ということではないかと。
Re: (スコア:0)
OpenSSLのライブラリを読んでるプロセスのメモリを 64KBずつ読み込めるという問題だと認識してるんだけど、
それで漏洩した情報のこんな詳細な項目が把握できるとは思えないんだけどなぁ。
CVE-2014-0160をきっかけに、結果的に DBへのアクセスを許してしまったということなら納得できるけど。
Re: (スコア:0)
実際どの程度の内容が取れるかは実際にやっていた攻撃者以外不明ではあるよね。
多分数字としては、秘密鍵が漏れた程度に想定して怪しい期間にアクセスしてきたすべてを対象としているんだろうけど。
もっと少ない数字かもしれないし、もっと多い数字かもしれないし。
Re: (スコア:0)
この脆弱性が利用されたなら偶然でもパスワードを抜かれるケースは存在するはず