それは一通のメールから始まった(セキュリティ事故案件)

  • 投稿日:
  • by
  • カテゴリ:

■2017/5/3追記■
この記事には続きというかオチがあります

夏に通販で時計を買ったhhstyleさんがサーバを乗っ取られ、個人情報をお漏らししちゃいました。以前は廃番の椅子のキャスターを取り寄せていただいたり色々お世話になっただけに残念です。

11月4日、下記のようなとても怪しいメールが届きました。

fig1_1611.jpg

ヘッダを確認したところホストがhhstyle.comになっており、あたかもhhstyle.comから送信したかのような感じです。また、文中のURLも偽装URLではないようでした。hhstyle.comの中にフィッシング用のページが作成され、その中に外部サイトが埋め込まれていてクレカ情報を収集するようになっていたようです。(怖くて踏んでないのでtwitter情報ですみません)日本語が怪しいのでバレたとも言われていますが、そもそも内容がおかしいので日本語が正しくても詐欺メール以外の何物でもありません。

この時点で思ったのは、

1.文中に自分の本名が明記されていた→名前とメールアドレスが確実に漏れている
2.ヘッダ及びURLから、サイト自体が乗っ取られている可能性が高い

ということでした。追って「そのメールは偽物だー!削除して!」というメールが届きましたが、こちらは外部のメールサービスを使用して送られたもので、ドメインを確認するまではむしろこちらのほうが偽物臭くさえ思えました。

そこへ追い討ちをかけるように、11/6になって2発目の業者メールが届きます。

fig2_1611.jpg

これまた怪しすぎる内容です。もちろんお詫びを装った詐欺です。まだサーバを握られています。土日だから誰も対応しないのかと思いましたが、実はこの時点で対応はしており、そしてそれが全然役に立っていなかったのだということが後に判明します。

11/6の夕方、本物らしき(もう何も信じられない)お詫びメールが届き、公式サイトにお詫びと説明が掲載されました。

どうにもふわっとした説明で、信用してお預けした個人情報をお漏らしされた身としては納得できかねたので返信は不要としつつ問い合わせをしてみました。

1.漏洩した情報は個人名、メールアドレス、住所、電話番号等と思われるが漏洩の範囲を教えてほしい
2.どのように安全性を確認したのか、もう大丈夫といえる根拠は何か、クレカ情報は保持していないとのことだがクレカ決済の委託先と詳細な流れを教えてほしい
3.個人情報保護の専門家に相談したとのことだが本当に専門家に相談してこの対処なのか、今の状態で誕生日を記載してメールを送るとか怖すぎる

クレカ情報の取扱いについてはメールで詳細な委託先サイトのコピペを送っていただき、専門家というのはIT担当者と弁護士さんのことらしいということがぼんやりとわかったのですが、それ以外はサイトを更新するから見てね☆ということでした。それはまあいいのですが、11/7の夜8時現在の経緯説明はこんな感じです。

fig3_1611.jpg

どんどん上書きされているようなのでスクショで残しておきます。これもあんまり褒められたやり方じゃなく、履歴を残したほうがいいです。

個人的な感想としては、個人情報保護の専門家(本物)に相談していたらこの対処はありえないです。11/4の時点で、ちゃんと調査せず憶測で管理者パスワードを変えアクセス制限を厳しくしただけで終わっており、結果11/6に再度自サーバに設置された不正プログラムから2通目の詐欺メールを送られてしまっています。

完全に解決するまでネットワークを遮断するべきだったと思いますが、不十分な対処のままオンラインショップも再開してしまっています。どういう運用をしていてなぜ侵入されたのか、これからどのように安全性を担保するのか、何も明確になっていませんし、根性論みたいな対処法だけではやはり信用できません。

また、想定される漏洩情報の範囲と規模なども問い合わせていますがサイトにもメールにも明記されておらず、どちらにも情報管理責任者の名前すら出していないのも無責任に感じます。対策も「毎日パスワード変えます」「アクセス制限厳しくします」でお話になりません。やる気は認めてあげたいですが、毎日パスワード変更とか本当にこれからずっと運用できるのでしょうか。毎日、「今日のパスワードは4649(仮)ですよー」とメールで回したり、今日はpassword1107、明日は password1108...みたいなことになりそうです。

正直これは、セキュリティ事故対応の失敗例として後世に残りそうなやっちゃった感でございます。今からでも遅くないので、ちゃんとしたコンサルを入れたほうがいいのではないかと心配になりました。

尚、他のspamが来るようになった方もいらっしゃるようですが、当方には今のところ来ておりません。来ないことを祈っていますが、おそらく個人名、メールアドレス、住所、電話番号、ログインパスワード、会員IDは確実に売られてると思うので、そのうち怪しい日本語のお手紙が来るかもしれません。ほんと、どうしてくれようかコレ。

■11/12追記■

その後、11/7にサイトを完全閉鎖されましたが、相変わらず黙ってチョコチョコとお詫び文を直しています。しかしそのおかげで、ログインIDやパスワードがわからない人は誕生日をメールに記載して送ってこいというあまりにもアレな一文は無くなりました。

どうやら退会済みの方には最初から一度も漏洩の件を連絡していないらしく、それだけはやらないとまずいだろと思う次第です。というか、未だに「何と何が漏れたのか」を教えてもらっていません。住所が漏れている場合、少額訴訟詐欺とかやられると面倒なのでそのへんははっきりしたいなあ...。