UTALI

書き溜めておいた技術記事や旅行記のバックアップです。

カゴヤの不正アクセスによる情報流出のお詫びがクオカード一枚だった件

エンジニア界隈でにわかに話題になっていた京都のレンタルサーバー業者のカゴヤがハッキングの被害に遭ってクレジットカード番号を含む利用者の個人情報を流出させてしまった件ですが、不幸にも僕もこの事件に巻き込まれてしまいました。

とはいっても、幸いながらVPS本体は公開鍵認証限定だったため無事でしたし、そもそも数十万・数百万のアクセスがあるサービスを運営していたとかではなく、クローラや機械学習のスクリプトを動かしていただけだったので、そこまで被害は深刻ではなかったのです。

カゴヤを使ったわけ

そもそもなぜカゴヤのVPSを利用したかというと、単純にコスパがよかったからでした。

初期料金が掛からずに1日単位で利用でき、性能対コストで考えると、さくらやGMO、Amazon Web Serviceに比べて、かなりお得だったのも事実です。

でも、僕は平行してAmazon EC2を利用していたので、少しVPSの設定が変なことにも気づいていました。

例えばsudoが初期設定で使えないなど。

違和感がありながらも、それ相応にサーバーの性能は高かったので、そのまま使い続けて、クローラを回していました。

ことの始まり

それは9月16日のお昼頃、いつものようにコーディング作業をしていると

カゴヤ・ジャパン サポートセンターです。 平素より当社サービスをご利用いただき誠にありがとうございます。

本日9月16日11時15分頃、弊社システムへの不正アクセスが確認されました。

影響範囲は現在確認中でございますが、ご契約コントロールパネルのパスワード が漏えいした可能性がございます。

==================================== ■ご契約コントロールパネルのパスワード変更 ====================================

ご契約コントロールパネルのパスワードが漏えいした可能性がございますため、 緊急対応といたしましてパスワードを変更いたします。

変更後のパスワードは、別途ご登録メールアドレス宛にてご案内いたします。

※ご利用中サーバーへのアクセスに影響はございません。

正直「えっ」て思いました。レンタルサーバーの会社が情報流出ってありえないでしょ。

見るからに、レガシーな感じの中小通販サイトが、個人情報をお漏らしするってよくある話ですけど、レンタルサーバーを運営している会社がやらかす類の案件ではないですよね。

言われた通りに再設定を行いました。でも、普通は流出しても利用できないように、パスワードってハッシュ化して保存しますよね。

不安を抱えながら過ごしていたら

次の日には

カゴヤ・ジャパン サポートセンターです。 平素より当社サービスをご利用いただき誠にありがとうございます。

先にご報告いたしましたとおり、念のためコントロールパネルのパスワードを 変更いたしました。

また、「変更後のパスワードは、別途ご登録メールアドレス宛にてご案内いたし ます。」とご案内いたしましたが、訂正させていただきます。

大変お手数をおかけいたしますが、以下「パスワード再設定」画面から新しい パスワードを再発行してご利用くださいますようお願い申し上げます。

弊社提供コントロールパネル > 「パスワード再設定」

とのメールを受け取りました。二転三転する対応から社内がかなり混乱していることが伺えます。

結局原因は?

OSコマンドインジェクション

おそらく利用者登録のフォームに脆弱性があって、そこから任意のコマンドを紛れこませたのだろう。

でも、この攻撃はかなり初歩的な手口で、大抵のOSSフレームワークでは対策済み、となるとかなり古いバージョンのフレームワークを更新もせずに使い続けていたことになる。

これまでの事例で多かったのは、JavaのStruts(佐賀の高校生ハッキング事件もそうだった)やその他Perl・PHPの各種フレームワークのかなり古いバージョンを利用していたことが原因だったことが多い。

第一、この手の攻撃は中国から行われることが多いので、利用者の属性を考えると、日本国外からのアクセスを遮断すべきだったのでは?

それにしてもレンタルサーバーの会社がやらかすことではない。

お詫びはクオカード500円

最後のオチになるのがお詫びが封書一枚とクオカード500円だったということ。そういえばベネッセの情報流出事件のときも、被害者に金券500円を送ったらしいし、そのあたりが相場なんでしょうか?

その実物

f:id:mochizuki_p:20161112144838j:plain

別にもっと金よこせとかいうつもりは毛頭ないのですが、最初に発覚してから2ヶ月間も音沙汰なしだったので、その間カードが不正に利用されるリスクもあったわけなので、そのあたりの配慮が欲しかったところです。

カゴヤに求めること

事件の詳細についての情報公開が足りないと思いました。

情報流出の原因となった脆弱性について、原因となったアクセスポイント(どこから侵入されたのか?)、環境や使用していたフレームワークや言語のバージョンなどを公開すべきでしょう。

それにしてもカード番号の変更面倒臭いな〜