Website Planetのセキュリティチームによると、最近のインシデントがDodo Pointロイヤルティポイントサービスプラットフォームに影響を及ぼし、大量の個人データが漏洩したとのことだ。
Dodo Pointは、韓国のYanolja Cloudによって運営されています。このサービスはユーザーの電話番号に基づいています。顧客はレストランや店舗でタブレット(図A)を使って電話番号を入力すると、ポイントが付与されます。
図A
同社が使用していた Amazon バケットは保護されておらず、認証プロトコルが導入されておらず、ストレージ上でデータ暗号化も行われていなかったため、38 GB を超えるデータに相当する約 73,000 個のファイルが公開されました。
バケットのセキュリティは Amazon の顧客の責任であるため、Amazon は Dodo Point のバケットの誤った構成については責任を負いません。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
研究者らは、Excel ファイルで公開された顧客記録の数と重複エントリを考慮した調査により、この侵害で少なくとも 100 万件の顧客記録が漏洩したと推定しました。
同社のウェブサイトによると、ナイキやマリオットなど大手多国籍ブランドがドードーポイントを利用しているという。
露出情報には、ユーザーの名前、生年月日、性別、電話番号、メールアドレス、訪問した店舗などが含まれます (図 B )。
図B
データベースには1,000件未満の銀行振込および口座振替の詳細も含まれていました。これらのデータはすべて、特定のユーザーの行動に関するプロファイリングに利用される可能性があります。
非効率的なインシデント報告
侵害されたデータを発見した研究者たちは、まずデータ発見当時Dodo Pointが傘下にあったSpoqa社に連絡を取ろうとした。返答がなかったため、韓国のコンピュータ緊急対応チームに連絡を取ったが、やはり返答はなかった。研究者たちはSpoqa社の新たな連絡先に連絡を取ろうとするとともに、Amazon Web Servicesにもこのインシデントを報告したが、どちらからも返答はなかった。
ついにヤノルジャ氏がドードーポイントの新しい所有者となり、連絡を取ることができるようになりました。同社は研究者に迅速に返答し、2日後にはアマゾンのバケットは確保されました。
Dodo Point の所有権の変更によって事態はより困難になった可能性はありますが、状況に関係なく、コンピューター セキュリティ インシデントは常に対処する必要があります。
オンラインでの同様の露出
Website Planetの研究者たちは、大規模なウェブマッピングプロジェクトを運営しています。このプロジェクトの一環として、彼らはウェブスキャナーを用いてインターネット上の安全対策が不十分なデータストアを特定し、分析を行った上で、影響を受ける企業に報告することで、データの安全性確保と、こうした情報漏洩の危険性に関する意識向上を図っています。
最近、TechRepublic は、安全でない無防備な Elasticsearch データベースが何千個も身代金目的で拘束されているという記事を書きました。
2017年には、27,000台のMongoDBサーバーが同様の攻撃を受けました。2018年には、eマーケティング会社のセキュリティ保護されていないデータベースから1,100万件のレコードが漏洩しました。
このような露出は非常に頻繁に発生しており、攻撃者がオンライン スキャン ツールを使用してこのようなデータベースを探し、暗号化されていない、または認証プロセスによって保護されていない露出されたデータを発見することは難しくありません。
こうしたデータ漏洩は、個人情報がサイバー犯罪に悪用される可能性を秘めています。攻撃者は個人になりすましたり、個人情報を利用して特定のフィッシングやソーシャルエンジニアリングの手口で標的を狙ったりする可能性があります。また、一部の脅威アクターは、サイバースパイ活動に利用可能な情報を収集する可能性もあります。
インシデント報告のスピードを向上させる方法
ここで紹介した事例は、インシデント対応が効率的に行われるためには、研究者が社内の適切な担当者に即座に連絡を取る必要があることを改めて示しています。担当者が転職する場合、必要な時に担当者に連絡するのは難しいかもしれませんが、解決策は存在します。
セキュリティ問題専用のメールアドレスを使用するのが最善の解決策かもしれません。2022年4月、インターネット技術タスクフォース(IETF)はRFC 9116を公開しました。このRFCでは、企業に対し、security.txtというファイルを平文で保存し、すべてのウェブサイトのルートディレクトリ、または.well-knownフォルダに保存することで、誰でもワールドワイドウェブ経由でアクセスできるようにすることが推奨されています。
Google、Meta、GitHubはすでにこのファイルを使用して、セキュリティ問題を報告したい研究者にセキュリティ連絡先を提供しています。security.txtのウェブサイトでは、企業がsecurity.txtファイルを生成するための支援を提供しており、プロジェクトに関する詳細情報も提供しています。
このような脅威から身を守る方法
企業は、必要不可欠な場合を除き、データベースをインターネットに公開すべきではありません。どうしても必要な場合は、多要素認証などの安全な認証メカニズムを導入する必要があります。
ロールベースのアクセス制御を設定し、すべてのユーザーに適切な権限を割り当てる必要があります。このようなデータベースに保存されるデータは暗号化する必要があります。そうすることで、たとえ攻撃者がデータにアクセスできたとしても、そのデータは無用になる可能性があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
