■ [ネット] サウンドハウス情報流出 今日の情報

珍しく連日更新。

情報がない＆現時点で確認する限り被害はないものの、念のためにサウンドハウスで使ったカードの停止を依頼。カード会社はイオンクレジットサービス。

「ネットでカードを使ったサイトが情報漏洩したようなので、停止をして欲しい」と伝えたところ、特にサウンドハウスの名前を出さなくても簡単に手続き完了。イオンにはサウンドハウスの漏洩事件が伝わっているのかいないのか分かりませんが、対応はスムーズでした。どうせならその辺り突っ込んで聞いてみれば良かったかな。

ちなみに停止すると、カードは自動的に別番号で再発行となるようです(他社もそうなのかな。この辺りの仕組みは知らないけど)。手数料は無料でした。

で、昨日ブログを書いた後にいろいろと調べてみると、サウンドハウスの対応とか、情報の正確性は良くなかったようで。SQLインジェクションを最初の報告時には特殊な攻撃、と書いてたって話はちょっとなあと思いましたが。

あとトロイを仕込まれたってのに、サーバーOSの再インストールもしないとか、停止して厳密にチェックもしてないという点も。再インストールしてないのかって話は昨日も書きましたけど、停止もしてなかったんですね。数日とは言わずとも、丸1日くらいは最低ネットワークから切り離してチェックしてしかるべきと思うんですが。

それくらいはやってるだろうという前提で書いてたのですが(なにぶんニュースを知ったのが5日の深夜で、出遅れた状態でしたし)、これは叩かれても致し方ないかなと思います。

2chの情報を見ると、2007年以前の会員の人にも不正使用されたという方もいるようですし、それが事実とするなら、公式に流出したと認めている2万7743件なんて数よりもっと多くのカード番号が漏れていることも可能性として考えられますね。

データベースが直接アクセスできるところにあったなら、SELECT * で全データを抜けるだろうし、トロイが仕掛けられたことを考えると、直接アクセスできないところにあったデータであっても抜き出せる可能性がありますので、基本、全データ流出と考えて対策を取るのが最善かなと思われます。

余談ですが、掲示板のやり取りも多少見た感じ、ツッコミどころ満載のサウンドハウス発言もあったりするんですが、忙しくてテンパっているんだろうということで生暖かい目で見守っています(笑)。脅迫的な発言とか、トレンドマイクロですら被害に遭ってるんだからうちが被害にあったっておかしくないだろとか、まあ、なんていうか、春だからですかねえ。

ちゃんとやってくるのはどうなんだろうと思う。昔からだけどさ。

■ [ネット] サウンドハウスの情報流出 俺のデータも流出か！？

楽画喜堂 さんのところで、サウンドハウスで情報流出 って記事を見て、俺も買い物した記憶があると思って調べたら案の定、2007年2月に会員登録・カードで商品発注してたよ・・・。orz

今日になってメールも届いたし(上記リンク先の4月5日と同内容。たぶん会員全員に送ってるんだろう)、KDDIに続き2回目の情報流出(今度はカード情報含む) という事態になる可能性が出てきたわけですが。

で、流出した情報の範囲はというと、

1. 流出した情報について

現在の段階で、流出した可能性のある情報をご報告いたします。

　・お名前　　・フリガナ　　・性別　　・生年月日

　・弊社サイト ログイン用メールアドレス

　・弊社サイト ログイン用パスワード

　・クレジットカード情報（会社名・カード番号・有効期限・ご名義）

※クレジットカード決済時の3Dセキュアサービス（本人認証サービス）でご入力いただくクレジットカードのパスワードにつきましては、データを保持していない為、流出の危険はありません。またご住所、お電話番号に関しては、調査の結果、流出の形跡はございませんでした。

こんな感じらしい。そりゃあ3Dセキュアなどの個人認証は外部にリダイレクトしてるんだから、流出はしないよな。もちろんそれを知らない人もいるだろうから、それについても触れている姿勢には好感は持てるけど。

正直思ったのは、なぜカード情報まで流出したかという点。アマゾンみたいに自分でカードを登録できる訳でもないのに流出したということは、決済で使ったカード情報を履歴として保存してたって事だろう。(決済ごと入力ではなく、使ったカード番号を保存しておいて入力を楽にするシステムだったかもしれないが、すでに失念)

この辺りは、手間になるけど毎回入力させて決済する期間だけ保持、それ以降は削除というシステムを採っているサイトが多いと思うのだが(俺が使ってるネットショップの多くはそれ)、一般的にはずっとカード番号を履歴として残しておくってサイトの方が多数派なんだろうか。

まあアマゾンとか楽天もそうだし、結構そういうところも多いんだろう。ただこういうクリティカルな情報は外部からアクセスできないサーバーに保存し、セキュアなゲートウェイを通して外部から参照するってのが一般的だと思うけど(ネットバンクとかね)、サウンドハウスではどうなってたんだろうか。この報告を読む限り、どうも一つのデータベースサーバーで管理してたっぽい雰囲気が漂っているけれど。(下記引用を参照)

そして侵入ルートはSQLインジェクション。だいたいこの手の事例ではお約束ですが、今回もやはりこれ。でもって侵入された時期は3月11日?22日の間。確かにSQLインジェクション攻撃が増えているとセキュリティニュースサイトでも報じられてた時期なので、多分これは間違いないだろう。

ただ、実施した対策についてなんだが・・・。

2. セキュリティ対策について

今回の不正アクセスを受け、弊社では、ユーザーの皆様により安全にご利用いただけるよう、セキュリティ対策の専門会社からの提案に基づき、以下のシステム上のセキュリティ強化、及び対策に発覚直後より取り組み、すべて完了しております。

　・弊社データベースから全てのカード情報を削除。

　・ファイヤーウォールの強化を行い不正侵入対策を強化。

　・不正侵入監視機器を導入し24時間体制で監視。

　・全てのウェブプログラムの見直しを行いセキュリティを強化。

　・ウェブサーバー上に存在した不審なプログラムの削除。

　・システム構成の見直し。

　・社内管理体制を見直し、セキュリティ管理・対策委員会を設置

サーバーOSの再インストールはしてないんだね。まあファイアーウォール強化とか、ウェブプログラムの修正とか、不審なプログラム削除とかはしてるみたいだけど、Rootkitとかトロイは全て検出できてるんでしょうか。仮にトロイなんかがあったとしても、ファイアーウォールとか、新たに導入したという不正侵入監視機器(Deep Packet Inspection対応のセキュリティアプライアンスとかかな？) で防げるという目論見なんでしょうかね。

そして最後の一文。

また、重ねて申し上げますが、万が一、お客さまのカード情報が第三者に不正利用され被害が発生した場合につきましては、お客さまのご負担は一切発生しませんので、ご安心いただきますようお願い申し上げます。

これはカード会社が弁済するから当然なんだけど、自動的に負担が発生しないように読めるのはいかがなものか。基本、不審な請求があったと請求書を見て申告しない限り、引き落とされるハズなのだけど(カード会社によっては、明らかにおかしい請求の場合には確認が入る事もあるが)。

なので確かに費用負担は発生しないが、それは請求書を今後ずーっと毎回きちんとチェックし続け、あやしい請求があった場合は申告した時の話であって、何もせず放ったらかしにしててもOKという訳ではない。まずは安心してもらうためのニュースリリースということは理解できるが、正確に書かないと誤解されることもあるだろう。

ただ、今回のサウンドハウスの対応や情報のリリースは迅速でかつ細やかであり、その点に関しては評価できる。少なくとも、信頼できる対応であると感じた。ではまたここで買い物をするかと問われると、正直あまりする気にはなれないというのが本音ではあるが。

まとめ。

自分の場合、サウンドハウスで使ったカードは現在ほとんど使用していないため、被害がないか確認することも容易だし、カード番号を変更しても問題はないが、メインカードが流出した方にとっては大変面倒なことだろう。(情報流出はサウンドハウスに限った話ではないが)

現代社会では情報は流出することを前提として、個人のセキュリティ対策を行う必要があると、今回自分自身も巻き込まれることで改めて感じた。今後は使用カードを分散したり、クレジットカード以外の決済もミックスするなどして、対策を取りたいと思う。

余談だが、サウンドハウスはMcAfeeがやってるHACKER SAFEってサービスに加入しているらしいけど、情報流出したんだね(笑)。99％ハッカーによる攻撃を防ぐサービスらしいから、残りの1％に該当したのかな(笑)。SQLインジェクションのチェックもやってると、誇らしげにHACKER SAFEのサイトには書かれてるんだけどね。

定型のチェックと、15分ごとに更新される脆弱性データベースに則った攻撃パターンのテストでは発見できないほど、高度な攻撃をされたんだったら仕方ないけどさ(笑)。是非どんな攻撃をされて情報流出したのか聞いてみたいものです。

ま、↓ みたいな記事もあることだし、こういうものは安心感を演出するためのPRでしかないと思ってた方がいいんでしょうな。

Pマークは無意味？　取得企業の6割が情報漏えい – ITmedia エンタープライズ

http://www.itmedia.co.jp/enterprise/articles/0803/12/news057.html