フュージョンテクノロジー「Tweepie」アカウント情報5.5万件流出

この記事は約 4 分で読めます。


画像:Tweepie(フュージョンテクノロジー)より

「Tweepie」は、フュージョンテクノロジーが提供するSNSに投稿することでポイントをためて換金できるサービスです。

2015年5月、このTweepieが不正アクセスを受け、会員情報の一部が外部に流出してしまうという事例が発生しました。

事件の経緯

フュージョンテクノロジーによれば、2016年3月4日に警察から情報漏洩ついての連絡があったとのことです。それによると、漏洩の被害者からの被害届が警察にあり、犯人のPCを警察が押収・解析をしたところ複数サイトからデータを取得した形跡を発見、そのデータの中にTweepieの会員情報も含まれていたということです。

実際にこれにより3名の会員の情報を使って他サイトで不正ログインが行われたことが確認できたとのことです。

改めて事件の経緯をまとめると以下のようになります。

2015年5月30日(0時30分頃) 犯人がTweepieへ不正アクセス、データ取得
→この時点で5万5667件の情報が不正に取得され、外部に流出
被害者からの被害届により、警察が調査に乗り出す
2016年3月4日 警察からフュージョンテクノロジーに情報漏洩の連絡あり
→これを受けて同社で調査の結果、情報漏洩が明らかとなる
2016年3月8日 フュージョンテクノロジーがお詫びのプレスリリースを発表

事件の原因(問題点)

本事件の原因はフュージョンテクノロジーのTweepieサービスを提供しているサーバーに対する「SQLインジェクション攻撃」です。

SQLインジェクション攻撃とは

SQLインジェクション攻撃とはアプリケーションに存在する脆弱性を不正に悪用することで、データベースに対して不正なSQL文を発行することでデータベースを不正に操作するものです。

SQL文はデータベースを操作する際には一般的なもので、これを発行することでデータを取得、書き込みなどの処理が可能になります。

データベースの脆弱性が根本的原因

つまり、今回のケースではTweepieのサービスを実行しているサーバーのデータベースにSQLインジェクションに関する脆弱性が存在し、悪意を持った第三者はこれを悪用して不正にデータベースを操作することで、会員情報を取得したのです。

したがって根本的な原因としてはデータベースの脆弱性が解消されないままであったことが挙げられます。

漏洩した情報は何か

フュージョンテクノロジーによると、今回の不正アクセスにより漏洩した情報はTweepieに利用者が登録しているメールアドレスとパスワードです。なお、「名前」「住所」「生年月日」「性別」「口座情報」などの個人情報は今回の漏えいした情報の中には含まれていないとのことです。

事件後の対応はどうだったのか

警察によってフュージョンテクノロジーに連絡があってから、同社がとった対応は以下のようになります。

被害者への対応

  • 被害実態の確認とお詫びを実施する方針

技術的な対応

WEBアプリケーションの脆弱性の修正

  • Web管理画面の不正アクセスを行っていたIPアドレスを遮断
  • Web管理画面へのログインをIPアドレスで制御
  • ログインIDやパスワードの変更

SQLインジェクション対策の見直しと修正

  • SQLインジェクションへの対策と、同脆弱性に対する修正を実施

会社としての対応

  • 代表取締役の役員報酬を3か月間50%カット

まとめ(筆者所感)

今回のフュージョンテクノロジーが運営するTweepieサービスへの不正ログインに伴う情報漏洩は、事件発覚後は同社によって比較的迅速な対応が進められたと感じます。

情報漏洩発生後の迅速な対応は、「これ以上の被害の拡大を防ぐ」「企業の信頼の回復」という意味でとても大切なことで、評価に値すると思います。

しかし、この事例での問題は「不正アクセスと情報漏洩に自身で気づけなかったこと」です。フュージョンテクノロジーが情報漏洩に気づいたのは、警察から連絡を受けたことに依っています。しかも不正アクセスから10か月も経っています。

もし被害者が被害届を出さなければ、警察が動かなければ、今でも情報漏洩に気づいてないかもしれません。

したがって同社が行うべきもっとも重要な対策は「不正アクセスの検知」の仕組みを導入することです。自身で不正アクセスを検知し、防御、対策を取るという仕組みを設けない限り、同じことをまた繰り返すでしょう。

不正アクセス検知の仕組みを早急に検討することが望まれます。

<参考>
不正アクセスによる情報漏えいのお詫びとご報告/フュージョンテクノロジー
https://twps.jp/tweepie_info20160308.pdf

IT企業10年間、Linux・Windows系のサーバ・インフラ系構築・運用エンジニアとして経験を積み、現在は、とある企業で社内SEとして活動。 多種多様な業務に携わってきたため知識は幅広く、得意分野はLinuxをはじめとしたサーバー構築。社内セキュリティ担当者としての経験も長く、セキュリティソフトウェアや、ゲートウェイ対策にも精通している専門家として活躍中。 >プロフィール詳細

こちらのページもご覧ください。

メルマガ会員登録(無料PDFプレゼント)

メルマガ会員登録をしていただくと下記PDFもプレゼント!
0からサイバーセキュリティの現状がわかる
情報漏洩セキュリティ対策ハンドブック

企業における情報漏洩対策として重要な、セキュリティ対策のための知識として基本的な「まずは知っておくべき内容!」をピックアップし、約40ページのPDFに整理いたしました!

その具体的な内容は、


img_pdf1.はじめに
2.近年の個人情報漏洩の状況
3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策
4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策
無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?

メルマガ登録はコチラから