「Tweepie」は、フュージョンテクノロジーが提供するSNSに投稿することでポイントをためて換金できるサービスです。
2015年5月、このTweepieが不正アクセスを受け、会員情報の一部が外部に流出してしまうという事例が発生しました。
事件の経緯
フュージョンテクノロジーによれば、2016年3月4日に警察から情報漏洩ついての連絡があったとのことです。それによると、漏洩の被害者からの被害届が警察にあり、犯人のPCを警察が押収・解析をしたところ複数サイトからデータを取得した形跡を発見、そのデータの中にTweepieの会員情報も含まれていたということです。
実際にこれにより3名の会員の情報を使って他サイトで不正ログインが行われたことが確認できたとのことです。
改めて事件の経緯をまとめると以下のようになります。
2015年5月30日(0時30分頃) | 犯人がTweepieへ不正アクセス、データ取得 →この時点で5万5667件の情報が不正に取得され、外部に流出 |
被害者からの被害届により、警察が調査に乗り出す | |
2016年3月4日 | 警察からフュージョンテクノロジーに情報漏洩の連絡あり →これを受けて同社で調査の結果、情報漏洩が明らかとなる |
2016年3月8日 | フュージョンテクノロジーがお詫びのプレスリリースを発表 |
事件の原因(問題点)
本事件の原因はフュージョンテクノロジーのTweepieサービスを提供しているサーバに対する「SQLインジェクション攻撃」です。
SQLインジェクション攻撃とは
SQLインジェクション攻撃とはアプリケーションに存在する脆弱性を不正に悪用することで、データベースに対して不正なSQL文を発行することでデータベースを不正に操作するものです。
SQL文はデータベースを操作する際には一般的なもので、これを発行することでデータを取得、書き込みなどの処理が可能になります。
データベースの脆弱性が根本的原因
つまり、今回のケースではTweepieのサービスを実行しているサーバのデータベースにSQLインジェクションに関する脆弱性が存在し、悪意を持った第三者はこれを悪用して不正にデータベースを操作することで、会員情報を取得したのです。
したがって根本的な原因としてはデータベースの脆弱性が解消されないままであったことが挙げられます。
漏洩した情報は何か
フュージョンテクノロジーによると、今回の不正アクセスにより漏洩した情報はTweepieに利用者が登録しているメールアドレスとパスワードです。なお、「名前」「住所」「生年月日」「性別」「口座情報」などの個人情報は今回の漏えいした情報の中には含まれていないとのことです。
事件後の対応はどうだったのか
警察によってフュージョンテクノロジーに連絡があってから、同社がとった対応は以下のようになります。
被害者への対応
- 被害実態の確認とお詫びを実施する方針
技術的な対応
WEBアプリケーションの脆弱性の修正
- Web管理画面の不正アクセスを行っていたIPアドレスを遮断
- Web管理画面へのログインをIPアドレスで制御
- ログインIDやパスワードの変更
SQLインジェクション対策の見直しと修正
- SQLインジェクションへの対策と、同脆弱性に対する修正を実施
会社としての対応
- 代表取締役の役員報酬を3か月間50%カット
まとめ(筆者所感)
今回のフュージョンテクノロジーが運営するTweepieサービスへの不正ログインに伴う情報漏洩は、事件発覚後は同社によって比較的迅速な対応が進められたと感じます。
情報漏洩発生後の迅速な対応は、「これ以上の被害の拡大を防ぐ」「企業の信頼の回復」という意味でとても大切なことで、評価に値すると思います。
しかし、この事例での問題は「不正アクセスと情報漏洩に自身で気づけなかったこと」です。フュージョンテクノロジーが情報漏洩に気づいたのは、警察から連絡を受けたことに依っています。しかも不正アクセスから10か月も経っています。
もし被害者が被害届を出さなければ、警察が動かなければ、今でも情報漏洩に気づいてないかもしれません。
したがって同社が行うべきもっとも重要な対策は「不正アクセスの検知」の仕組みを導入することです。自身で不正アクセスを検知し、防御、対策を取るという仕組みを設けない限り、同じことをまた繰り返すでしょう。
不正アクセス検知の仕組みを早急に検討することが望まれます。
<参考>
不正アクセスによる情報漏えいのお詫びとご報告/フュージョンテクノロジー
https://twps.jp/tweepie_info20160308.pdf