「2013-05-27 XCOM GLOBALのGLOBALDATAへの不正アクセスでお客様情報流出」の版間の差分
提供: セキュリティ
(ページの作成:「<!-- vim: filetype=mediawiki --> XCOM GLOBAL が運営する GLOBALDATA と Global Cellular のWebサーバへ外部からの不正アクセスがあり、[[...」) |
|||
行1: | 行1: | ||
− | |||
− | |||
− | |||
− | |||
XCOM GLOBAL が運営する GLOBALDATA と Global Cellular の[[Webサーバ]]へ外部からの[[不正アクセス]]があり、[[クレジットカード]]や[[セキュリティコード]]、[[個人情報]] が流出しました。 | XCOM GLOBAL が運営する GLOBALDATA と Global Cellular の[[Webサーバ]]へ外部からの[[不正アクセス]]があり、[[クレジットカード]]や[[セキュリティコード]]、[[個人情報]] が流出しました。 | ||
行8: | 行4: | ||
== 概要 == | == 概要 == | ||
− | |||
XCOM GLOBAL が運営する GLOBALDATA と Global Cellular の[[Webサーバ]]へ外部からの[[不正アクセス]]があり、[[クレジットカード]]や[[セキュリティコード]]、[[個人情報]] が流出しました。 | XCOM GLOBAL が運営する GLOBALDATA と Global Cellular の[[Webサーバ]]へ外部からの[[不正アクセス]]があり、[[クレジットカード]]や[[セキュリティコード]]、[[個人情報]] が流出しました。 | ||
− | |||
== 発見と初動 == | == 発見と初動 == | ||
− | |||
* 2013/04/23 17時ごろ XCOM GLOBAL の契約先の決済代行会社より[[クレジットカード]]情報の流出の件について連絡がありました。 | * 2013/04/23 17時ごろ XCOM GLOBAL の契約先の決済代行会社より[[クレジットカード]]情報の流出の件について連絡がありました。 | ||
* ただちに、サイトの申し込みを停止し、データベースの[[クレジットカード]]情報の削除を行いました。 | * ただちに、サイトの申し込みを停止し、データベースの[[クレジットカード]]情報の削除を行いました。 | ||
* その後、オンラインでのクレジットカード決済を停止しました。 | * その後、オンラインでのクレジットカード決済を停止しました。 | ||
− | |||
== 調査体制 == | == 調査体制 == | ||
− | |||
* 2013/04/23に社内に事故対策委員会を設置しました。 | * 2013/04/23に社内に事故対策委員会を設置しました。 | ||
* 2013/04/26 Payment Card Forensics 株式会社に調査を委託しました。 | * 2013/04/26 Payment Card Forensics 株式会社に調査を委託しました。 | ||
− | |||
== 調査の結果 == | == 調査の結果 == | ||
− | |||
* [[SQL Injection|SQLインジェクション]] による攻撃と不正取得によりお客様情報の流出の功績が発見されました。 | * [[SQL Injection|SQLインジェクション]] による攻撃と不正取得によりお客様情報の流出の功績が発見されました。 | ||
* 流出した情報 | * 流出した情報 | ||
行32: | 行21: | ||
** [[セキュリティコード]] | ** [[セキュリティコード]] | ||
** 申込者住所 | ** 申込者住所 | ||
− | |||
== 顧客対応 == | == 顧客対応 == | ||
− | |||
* メールにて、案内を出しました。 | * メールにて、案内を出しました。 | ||
* メールが届かないお客様には、郵送等で連絡をしています。j:w | * メールが届かないお客様には、郵送等で連絡をしています。j:w | ||
− | |||
== 実施済の対策 == | == 実施済の対策 == | ||
− | |||
* 侵入経路の遮断 と お客様情報の削除 | * 侵入経路の遮断 と お客様情報の削除 | ||
** 既存のサーバとローカル接続されていない場所に、新しくサーバを構築しました。 | ** 既存のサーバとローカル接続されていない場所に、新しくサーバを構築しました。 | ||
行48: | 行33: | ||
** 平成25年4月23日23時より、クレジットカード情報を申込時に入力しない運用に切り替え、空港カウンターでの対面決済のみで取り扱っています。 | ** 平成25年4月23日23時より、クレジットカード情報を申込時に入力しない運用に切り替え、空港カウンターでの対面決済のみで取り扱っています。 | ||
* サーバシステムの変更 | * サーバシステムの変更 | ||
− | ** 新サーバと既存サーバに、[[ファイアーウォール]] と | + | ** 新サーバと既存サーバに、[[ファイアーウォール]] と 侵入検知 と 侵入防御のハードウェアを導入しました。 |
− | ** データベースアカウントの ID と[[パスワード | + | ** データベースアカウントの ID と[[パスワード]] をすべて変更しました。 |
* 第三者機関による脆弱性調査 | * 第三者機関による脆弱性調査 | ||
** Payment Card Forensics がサーバの脆弱性調査等を実施し、判明した[[脆弱性]]について改修しました。 | ** Payment Card Forensics がサーバの脆弱性調査等を実施し、判明した[[脆弱性]]について改修しました。 | ||
* 所轄警察署への報告 | * 所轄警察署への報告 | ||
** 5/15 移行に所轄警察署へ相談し、所轄官庁へ第一報を行いました。 | ** 5/15 移行に所轄警察署へ相談し、所轄官庁へ第一報を行いました。 | ||
− | |||
== 今後の対策の計画 == | == 今後の対策の計画 == | ||
− | |||
* オンライン決済におけるクレジットカード情報の非保持 | * オンライン決済におけるクレジットカード情報の非保持 | ||
** [[PCI DSS]] の取得 | ** [[PCI DSS]] の取得 | ||
− | ** | + | ** リンクタイプ決済 を利用したシステムの開発 |
* ネットワーク構成の強化 | * ネットワーク構成の強化 | ||
** ネットワーク構成とアプリケーションのセキュリティ強化について、第三者機関によるセキュリティ調査のもと次のとおり取り組みます。 | ** ネットワーク構成とアプリケーションのセキュリティ強化について、第三者機関によるセキュリティ調査のもと次のとおり取り組みます。 | ||
行66: | 行49: | ||
** ネットワーク構成の再設計 | ** ネットワーク構成の再設計 | ||
* 所轄警察署と所轄官庁への継続報告 | * 所轄警察署と所轄官庁への継続報告 | ||
− | |||
== 処分 == | == 処分 == | ||
− | |||
代表取締役社長の月額報酬 30% を3ヶ月減額します。 | 代表取締役社長の月額報酬 30% を3ヶ月減額します。 | ||
− | |||
== メモ == | == メモ == | ||
− | + | * CMS の Drupal を利用して運用されていると考えられています。 | |
− | * | + | |
** INSTALL.txt より推測されます。 | ** INSTALL.txt より推測されます。 | ||
− | * | + | * .htaccess がデフォルトのようだ。 |
− | * | + | * robots.txt に Disallow の記載があり、存在をばらしている。 |
− | + | ||
== 関連項目 == | == 関連項目 == | ||
− | |||
* [[情報漏えい]] | * [[情報漏えい]] | ||
* [[SQL Injection|SQLインジェクション]] | * [[SQL Injection|SQLインジェクション]] | ||
+ | <!-- | ||
+ | vim: filetype=mediawiki | ||
+ | --> |
2015年9月22日 (火) 13:56時点における最新版
XCOM GLOBAL が運営する GLOBALDATA と Global Cellular のWebサーバへ外部からの不正アクセスがあり、クレジットカードやセキュリティコード、個人情報 が流出しました。
概要
XCOM GLOBAL が運営する GLOBALDATA と Global Cellular のWebサーバへ外部からの不正アクセスがあり、クレジットカードやセキュリティコード、個人情報 が流出しました。
発見と初動
- 2013/04/23 17時ごろ XCOM GLOBAL の契約先の決済代行会社よりクレジットカード情報の流出の件について連絡がありました。
- ただちに、サイトの申し込みを停止し、データベースのクレジットカード情報の削除を行いました。
- その後、オンラインでのクレジットカード決済を停止しました。
調査体制
- 2013/04/23に社内に事故対策委員会を設置しました。
- 2013/04/26 Payment Card Forensics 株式会社に調査を委託しました。
調査の結果
- SQLインジェクション による攻撃と不正取得によりお客様情報の流出の功績が発見されました。
- 流出した情報
- サーバに最大 146,701件のクレジットカード情報を保持しており、 109,112件が不正取得で流出したと考えられいます。平成23年3月7日 - 平成25年4月23日に申し込んだ人が対象です。
- カード名義人名
- クレジットカードの番号
- クレジットカードの有効期限
- セキュリティコード
- 申込者住所
顧客対応
- メールにて、案内を出しました。
- メールが届かないお客様には、郵送等で連絡をしています。j:w
実施済の対策
- 侵入経路の遮断 と お客様情報の削除
- 既存のサーバとローカル接続されていない場所に、新しくサーバを構築しました。
- 4/23 22:00 に不正アクセスされたお客様情報を保持するデータベースからクレジットカード情報は、すべて削除しています。
- クレジットカードのモニタリング
- 流出した可能性のあるクレジットカードの番号 を決済代行会社に提供し、モニタリングを依頼しています。その後、決済代行会社経由で、クレジットカード会社各社に連絡し、4/30 から該当クレジットカードによる取引のモニタリングの依頼を順次実施しています。
- クレジットカード情報の非保持
- 平成25年4月23日23時より、クレジットカード情報を申込時に入力しない運用に切り替え、空港カウンターでの対面決済のみで取り扱っています。
- サーバシステムの変更
- 第三者機関による脆弱性調査
- Payment Card Forensics がサーバの脆弱性調査等を実施し、判明した脆弱性について改修しました。
- 所轄警察署への報告
- 5/15 移行に所轄警察署へ相談し、所轄官庁へ第一報を行いました。
今後の対策の計画
- オンライン決済におけるクレジットカード情報の非保持
- PCI DSS の取得
- リンクタイプ決済 を利用したシステムの開発
- ネットワーク構成の強化
- ネットワーク構成とアプリケーションのセキュリティ強化について、第三者機関によるセキュリティ調査のもと次のとおり取り組みます。
- SQLインジェクション 対策などアプリケーション脆弱性修正と強化
- 不正侵入監視と不正侵入防御機器の設置
- ネットワーク構成の再設計
- 所轄警察署と所轄官庁への継続報告
処分
代表取締役社長の月額報酬 30% を3ヶ月減額します。
メモ
- CMS の Drupal を利用して運用されていると考えられています。
- INSTALL.txt より推測されます。
- .htaccess がデフォルトのようだ。
- robots.txt に Disallow の記載があり、存在をばらしている。