パスワードを忘れた? アカウント作成
10845053 story
情報漏洩

三菱UFJニコス、OpenSSLの脆弱性を狙った攻撃を受けて会員情報が不正に閲覧される 53

ストーリー by headless
泥縄 部門より
三菱UFJニコスは18日、クレジットカード会員専用WebサービスがOpenSSLの脆弱性を狙った攻撃を受け、延べ894名分のWeb会員情報が不正に閲覧されたことを発表した(三菱UFJニコス: 重要なお知らせ三菱UFJニコスの発表: PDF朝日新聞デジタルの記事ITmediaエンタープライズの記事毎日新聞の記事)。

不正アクセスが検知されたのは11日6時33分。調査の結果、OpenSSLの脆弱性を狙ったものであることが特定されたという。同社は14時30分からWebサービスを停止してOpenSSLをアップデートするなどの措置を行い、翌12日7時48分にWebサービスを再開したとのこと。該当する会員にはすでに電子メールや手紙、電話などで連絡済みだという。OpenSSLの脆弱性が原因で実際に情報が流出したのは国内初のようだ。

不正アクセスにより閲覧されたのは、カード番号の一部および氏名、生年月日、住所、電話番号、電子メールアドレス、カード有効期限、WebサービスのID、カード名称、入会年月、利用代金支払口座、勤務先、勤務先電話番号など。Webサービスのログインパスワードおよびカードの暗証番号は閲覧されていないという。また、カード番号は一部が非表示になっているため、不正利用される可能性は低いとしている。

毎日新聞の記事によると、同社ではOpenSSLの脆弱性が公表されたことを受けて対応策の検討を開始しており、暫定的に対処するソフトを不正アクセスが検知される直前に導入していたという。しかし、対策を行う前から攻撃は始まっていたようで、状況からみて9日夜から侵入されていたと考えられるとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 日本時間4月9日頃にOpenSSLバグの記事はネットに流れていると思います。
    4月12日朝の時点で(三菱東京UFJ銀、三井住友銀行、住信SBIネット)の
    三つは公式サイト表紙にOpenSSLへの注意書きが出てなかったことを確認しました。
    4月12日に住信SBI銀行に問い合わせメールを出したら
    16日に「報道されておりますOpenSSLの脆弱性に関しまして、当社サイトのご利用にあたり、
     お客さまのお取引に影響のあるセキュリティ上の問題はない...(後略)」
    という要旨の返事が来ました。
    その返事の少しあとに住信SBI公式サイト表紙にopenSSLバグへの注意書きが出たはず。
    ということで住信SBIも今回おそらく無傷だろうけど対応は遅い印象。
    三菱、三井、住信ともしっかりやってほしいです。
    なお米国銀行事情を書いた英文記事みると、
    American Banker [americanbanker.com] の記事(4月11日)だと
    Citigroupが「安全ではない様子」と判断されてます。

  • by Anonymous Coward on 2014年04月20日 13時04分 (#2585564)

    >対策まで時間がかかったのは認識している。対策が完了する前に攻撃された。痛恨の極みだ

  • セキュリティの対策をすればするほど、攻撃された事実が明るみに出て企業はデメリットしか感じない。
    監視カメラをたくさん置いて監視してなければ不審者も泥棒も発見出来ないんだからネットだって同じことだ。
    今回みたいな攻撃を検知するにはそれなりの設備が必要だし、中小企業レベルではそもそも不可能だろう。

    発見して公表した企業よりも、音沙汰ない企業に対してどのように安全性を担保しているのか追求する風潮にならなければ、この先日本でのセキュリティ意識は向上しないんじゃなかろうか。
  • by alternative (23238) on 2014年04月20日 14時29分 (#2585595)

    今回の脆弱性は1.0.1のみで1.0.0は影響がない。
    1.0.0から1.0.1にバージョンアップする勇気があったのに
    1.0.1にセキュリティアップデートをあてるのを
    ためらった理由はなんなんだろう?

    RHEL 6.5で作られたシステムなのかな?

    • by Anonymous Coward

      なぜ1.0.0から1.0.1に迅速にアップデートしていたと思うの?
      最初から1.0.1で作ったシステムかもしれないし、
      常に最新版をキープし続けていたなんて情報どっかにあった?
      1年前にアップデートしていても1.0.1なんだぜ。

  • by Anonymous Coward on 2014年04月20日 13時11分 (#2585568)

    なんで対処するソフトを入れる前にバージョンアップしなかったんだろ
    OpenSSLはとっくに対応版あがってる頃だし なくてもHeartbeat拡張オフにすればいい
    大手の対応なんてそんな程度といえばそうなんだけどさ

    • by Anonymous Coward on 2014年04月20日 15時10分 (#2585613)
      緊急対応としては「Heartbeat拡張オフ」は現実的な方法だよね。
      なにかあったらオンにすれば戻せるわけだし。

      不正なパケット検出する仕組みとかはないのかな?サードパーティファイアウォール/ウィルス対策入れとけば大丈夫とか。
      それはそれで影響でかそうで承認まで時間かかるだろうけど。
      親コメント
      • by Anonymous Coward

        その「なにかあったら」で責任を問われるんだからそりゃ慎重にもなるわな。

        情報盗まれるならサービス止まる方がまし、ってサービスする側も受ける側も、ひいては世間が意識を変えないとどうにもならん。

      • by Anonymous Coward

        知っている限りで言うとパロアルトが脅威防御シグネチャを提供 [paloaltonetworks.jp]と言ってます。

        ※実はリンク先見てないww

        たしか他社のNFWでもチェックできるという話を聞いたような気がするんだけど………行ったイベントで言うとHPかな?

      • by Anonymous Coward

        再コンパイルしてインストールし直しだし、そう簡単にオン・オフ切り替えられるわけじゃないでしょ。
        どういうやり方でOpenSSLをインストールしたのかわからないが、自分なら普通にパッケージ管理で更新する。
        さすがに金融機関のサーバーOSならサポート付きだろうし、サポート企業の指示の下、迅速に実施出来たと思うけどなぁ。

    • by Anonymous Coward on 2014年04月20日 16時11分 (#2585629)

      バージョンアップしたらとたんに動かなくなることがあるからなかなかそういうことはできないのよ
      単体テストだけじゃあミドルウェアのバージョンアップには対応できないから人力でのテストもいるし

      親コメント
    • by Anonymous Coward

      実施承認までのプロセスに時間がかかるんでしょう
      大手なら余計に。

      • こんなときに例の巫女さんエンジニアがいればねーw
        きっと侵入される前にサーバーを落としてくれたに違いない。
        親コメント
      • by Anonymous Coward

        外から見ると導入中のOpenSSLの更新と暫定的に対処するソフトとやらの新規導入なら
        新規導入の方が実施まで時間かかりそうなもんですがこのあたりは憶測しかできませんね

  • by Anonymous Coward on 2014年04月20日 13時25分 (#2585575)

    発見された当日には攻撃ツールが出回ってる状況で
    4日もパッチ当てずに放置とか故意と思われても仕方がない

  • by Anonymous Coward on 2014年04月20日 13時39分 (#2585581)

    あの会社、名前の通り三菱・UFJ・ニコスがろくに統合されずにバラバラなんだけど、被害にあったのどのブランドなんでしょうね?

  • by Anonymous Coward on 2014年04月20日 15時10分 (#2585612)

    > 状況からみて9日夜から侵入されていたと考えられるとのことだ。
    CVE-2014-0160 の問題は侵入しなくても、細工したパケットを投げれば良いのでは?

    • by Yak! (32970) on 2014年04月20日 15時34分 (#2585621) ホームページ 日記

      piyolog 三菱UFJニコスがOpenSSLの脆弱性を突かれて不正アクセスを受けた件をまとめてみた
      http://d.hatena.ne.jp/Kango/20140419 [hatena.ne.jp]

      に挙げられている一連の徳丸さんのツイートより。

      https://twitter.com/ockeghem/statuses/457680470092693505 [twitter.com]

      【続き】ということで、おそらく不正アクセスを検知した後、不正アクセスの起点のIPアドレスと期間を絞り込み、その期間そのIPアドレスからアクセスされた会員の人数を発表しているのだと推測しました。

      つまり、
      ・CVE-2014-0160 によるもの以外に実際に不正アクセスが存在していると思われる
      ・CVE-2014-0160 による直接の被害範囲は不明だと思われる
      ということではないかと。

      親コメント
      • by Anonymous Coward

        OpenSSLのライブラリを読んでるプロセスのメモリを 64KBずつ読み込めるという問題だと認識してるんだけど、
        それで漏洩した情報のこんな詳細な項目が把握できるとは思えないんだけどなぁ。
        CVE-2014-0160をきっかけに、結果的に DBへのアクセスを許してしまったということなら納得できるけど。

        • by Anonymous Coward

          実際どの程度の内容が取れるかは実際にやっていた攻撃者以外不明ではあるよね。

          多分数字としては、秘密鍵が漏れた程度に想定して怪しい期間にアクセスしてきたすべてを対象としているんだろうけど。
          もっと少ない数字かもしれないし、もっと多い数字かもしれないし。

      • by Anonymous Coward
        自分もプレスリリースでwebパスワードは漏洩していませんと断言しているのが気になりますね
        この脆弱性が利用されたなら偶然でもパスワードを抜かれるケースは存在するはず
typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...