Nick Security Log

securityを始めとしたNickのブログです

象印の個人情報流出について

www.zojirushi.co.jp

象印の個人情報流出について。
情報流出のリリースをちゃんと見るのは初めてかもしれない。

初報

2019年12月6日。
12月4日に不審メールが届いているとの通報があり、当日にサービス停止。
2日後にリリース。

被害

クレカ除く個人情報の流出はだいたい28万件。

フィッシングサイトを経由したクレカ情報漏洩はだいたい700件。

不審メール内容

使われているドメインは本物。
メール内に記載されてあるフィッシングサイトのドメインは偽物。

フィッシングル対策

証明書の記載を見るよう案内。

再発防止策

  • 異常を検知する監視機能の強化 (2019年12月25日完了)
  • システムや情報へのアクセス制御の厳格化、ID・PWの管理強化 (2019年12月25日完了)
  • 不正プログラム感染防止対策の実施 (2019年12月26日完了)
  • 全公開サイトの証明書強化(EV-SSL化)(2020年 1月31日完了)
  • 通信ネットワークの保護強化(構成見直し・侵入検知等)(2020年 2月中旬完了予定)
  • 改ざん検知・監視機能の強化 (2020年 2月末日完了予定)


感想

全体的に対応早い印象。
象印は体制が整っていたのか?

フィッシング対策として、証明書を見るのはどうなのか?
一般人にはハードルが高いと思いつつ、他に見るものもなさそう。
メールアドレスは正規のものなので難しいか。

ショッピングサイトからの不正アクセスで情報流出って言ったらSQLインジェクションか?
診断してても出るから、残ってても違和感は感じない。

でも再発防止策を見ているとなんか違う気もする。
ネットワークやアクセス制御をやたらと気にしているから、SSHでも公開しちゃったか、脆弱なミドルウェアでも突かれたか?

どんな脆弱性が原因だったか、というのも教えてくれると助かるのだが、それは難しいのだろうか。
Capital OneはSSRFだって教えてくれたが。