漏えい多発、多難の1カ月：セキュリティクラスタ まとめのまとめ 2013年5月版

　5月は4月に引き続き、三越伊勢丹ホールディングス、ディノス、資生堂、阪急阪神百貨店など企業サイトやサービスへの不正アクセスが話題になりました。

　中でも大きな話題となったのが、2200万件と桁違いの数のIDが流出してしまったYahoo! Japanと、件数は10万件ながら、カード番号から住所氏名、セキュリティコードまでフルセットで流出してしまったエクスコムグローバルでした。どちらもTwitterユーザーの中に多くの被害者がいたため、「どうしてこうなった」という怒りの声がタイムラインを沸かせました。

　そして、遠隔操作ウイルス事件は7度目の起訴がされた揚げ句、容疑者が拘留されたまま裁判が始まる気配もなく、こちらもイライラが募るTLとなっていました。

Yahoo! Japanで2200万件もの大規模なID流出

　5月16日、Yahoo! Japanが外部から不正アクセスを受けたとの発表がありました。

　Yahoo! Japanは4月に不正アクセスを受け、127万件の情報が流出したことを明らかにしていましたが、今回はそれ以上の2200万件のIDが流出するという、これまでに類を見ない大規模な事件となりました。さすがに2200万件ともなれば、Twitterでも非常に多くののユーザーが、ID流出の被害にあったことを報告していました。

　同社によると原因は、「関連するアカウントの認証の再設定を社内で徹底させることができていなかったこと」だそうです。社内のサーバ管理体制に疑問の声が多く上がっていました。

　また当初、「データベースには他のデータも入っているはずなのに、なぜIDだけが流出？」といぶかしがる人も多かったのですが、やはりIDだけではなかったようで、後日、「パスワードハッシュ」と「秘密の質問」も漏れていたことが明らかになりました。こちらの件数は149万件と、IDの10分の1程度。一見すると少ないように感じますが、それでも100万件以上という異常な数です。

　パスワードハッシュ流出の被害を受けたIDについては、パスワードリセットの措置が取られたそうです。しかし、最近流行の「同じIDとパスワードを使い回している別のサイトへの攻撃」に使われる危険性が懸念されていました。

　ヤフーでは後日、これらの件とは別に、人為的ミスで個人情報が流出したことが判明しています。5月27日には1427人分のIDとメールアドレスを、835人のヤフオクユーザーに誤送信していたことが発表され、その後、これとは別の会員およそ9万4300人分のIDとメールアドレスが書かれたメールを、およそ180人の会員に誤って送信したことも分かったということです。

なぜセキュリティコードも？ だだ漏れのエクスコムグローバル

　Yahoo! Japanの一件も大事故でしたが、5月27日にはそれ以上にインパクトのある不正アクセス事件が明らかになりました。

　「イモトのWiFi」で知られる、海外渡航者向け通信機器レンタルサービスを提供するエクスコムグローバルが、SQLインジェクション攻撃を受けて、約11万件のクレジットカード情報を盗まれたことを発表したのです。盗まれた情報は、カード名義人名、カード番号、有効期限、セキュリティコード、申込者の住所です。中でも最も問題視されたのは、盗まれた情報の中に「セキュリティコード」情報が含まれていたことでした。

　クレジットカード情報を扱う事業者のセキュリティ基準であるPCI DSSでは、セキュリティコードは保持してはいけないことになっています。それなのに（エクスコムグローバルがPCI DSSに準拠していたわけではありませんが）どうして保存していたのか、と、多くのユーザーがこれを問題視しました。

　そしてもう1つ、4月末には問題が発覚していたのに、公に発表されたのは5月末と、1カ月もの間が開いてしまったことでした。エクスコムグローバル側は、「調査が完了してから発表した方がいいと判断した」とコメントしていますが、10万人ものカード番号が他人の手に渡ってしまったことを1カ月もの間公表しないことはセキュリティ的にも大問題です。ゴールデンウイークの営業を優先したのではないかと多数の人から非難されています。

　被害者の方々には、同社から3000円のクーポンが進呈されるそうです。しかし、漏らされた人からすれば、同じカードを使い続けることなどできるはずもありません。クレジットカード会社への連絡、再発行手続きなどで大きな負担が掛かったことから、その対応に怒りを抑えられないツイートがたくさん見られました。

　また事件に絡めて、サイトに用意されている「robots.txt」が、外部に知らせるべきでないページの情報を漏らしているのではないかということも指摘され、話題となりました。これは同社が使用していたCMS「Drupal」のデフォルト設定だったようですが、どうやら攻撃者に無駄な情報を与えてしまっていたようです。

　その他にも、三越オンラインショッピングやディノス、資生堂の「ワタシプラス」、阪急阪神百貨店、ゲーム情報サイト「インサイド」など、不正アクセスによる個人情報漏えい事件が多発した5月でした。

遠隔操作ウイルス事件の裁判、いまだ始まらず

　遠隔操作ウイルス事件のその後ですが、容疑者は否認を続け、裁判が開始されることもないまま拘留が続いています。5月8日には伊勢神宮の爆破予告容疑で、容疑者の4度目の逮捕が行われました。

　5月16日には、元日に雲取山に容疑者が埋めたとされる記憶媒体が発見されたとの報道がありました。「1月の時点では凍っていたため見つけられなかった」とのことですが、5月になって急に見つかったことをいぶかしむ声も多く見られました。

　また5月22日には第1回公判前整理手続きが東京地裁で行われましたが、検察側は具体的な証拠を開示せず、証拠が本当にあるのかが疑われています。「記録媒体はとっくの昔に発見されていたのではないか」「発見されたこと自体がでっち上げではないか」と疑う声も上がっています。

　5月28日には被疑者の勾留理由開示が行われていますが、まだ裁判すら始まっていないにもかかわらず、世間の関心は少しずつ薄くなっているようです。

　なお、6月3日にはCSRFを使った横浜市内の小学校に対する襲撃予告の件で追送検、6月10日にはAKB襲撃予告を書き込んだ件で追送検されました。これで誤認逮捕に関する全事件が立件され、一連の事件の捜査は終結ということです。これから裁判が始まることになります。

セキュリティクラスタ、5月の小ネタ

　このほかにも5月のセキュリティクラスタはこのような話題で盛り上がっていました。来月はどのようなことが起きるのでしょうね。

• 「パスワードリマインダ」より「パスワードリセット」がいい？
• 「パスワード使い回すな」って言うな！
• 「サイバーセキュリティ庁」ができる！？
• 警察庁にサイバー攻撃分析センター、防衛省はサイバー防衛隊設置
• ゴールデンウィーク中ゼロデイ状態だったIE8の脆弱性「CVE-2013-1347」、5月8日にようやく修正
• ColdFusionにも脆弱性
• 今年もセキュリティキャンプの参加者募集が始まる（6月10日に締め切り）
• GMOグローバルが作った候補者、国会議員および政党の認証サービスが役立たず！？
• NTTドコモとLINEが協業……セキュリティは大丈夫？
• 「白浜シンポジウム」開催。セキュリティ関係者、今年も白浜に集結
• TwitterとEvernoteが二段階認証を開始、セキュリティクラスタ大歓迎！