  |
はてなキーワード: 漏えいとは
QRオーダー系のサービスについて、いくつか脆弱性が指摘されている記事を読んだ。
もちろん、スタッフ呼び出しAPIが本当に誰でも叩ける状態なら、それは直した方がいいと思う。店舗オペレーションを乱せるし、いたずらや業務妨害につながる可能性はある。
ただ、記事全体としては「脆弱性」と呼んでいるものの中に、実際にはそこまで問題ではなさそうなものがかなり混ざっているように感じた。
まず、Origin や Referer を検証していないことについて。
これは主に、ブラウザ経由で第三者のユーザーを勝手に操作させる CSRF 対策として意味があるものだと思う。
でも、APIを curl や自作クライアントから叩けること自体を防ぐものではない。Origin / Referer を見たところで、ブラウザ外のクライアントからのアクセスは普通に偽装できる。
なので、「Origin / Referer を検証していないから非公式クライアントから叩ける」という話にするのは、ちょっと論点がずれているように見える。
問題にすべきなのは Origin ではなく、そのAPIに認証・認可が必要なのかどうかだと思う。
ここは問題だと思う。
店舗IDやテーブル番号のような情報だけでスタッフ呼び出しができるなら、いたずらはできてしまう。これは直した方がいい。
ただし、これも「金銭被害が出る」とか「個人情報が漏れる」とか「注文を改ざんできる」といった話とは別だ。
影響としては、主に店舗オペレーションへの迷惑、つまり業務妨害寄りのリスクだと思う。
だから、重大脆弱性というよりは、認証・レート制限・QRセッションとの紐付け・異常検知あたりで潰すべき設計不備、という評価が近いのではないか。
これも、そこまで大きな問題には見えない。
メニュー名、商品ID、価格、カテゴリのような情報が取れるという話なら、それは基本的に来店客に表示される情報だ。
もちろん、未公開メニューや内部用フラグ、在庫、原価、店舗運用上の非公開情報まで取れるなら話は変わる。
でも、単にメニューのマスターが取れるだけなら、それはセキュリティというよりスクレイピング対策や負荷対策の話に近い。
公開される前提の情報をAPIでまとめて取得できることを、深刻な情報漏えいのように扱うのは少し違和感がある。
これも「そういう設計なのでは」と思う。
QRオーダーは、そもそもログインなしで使えることに価値がある。客にアカウント登録させず、席にあるQRを読んだ人をその席の利用者として扱う。これはUX上かなり自然な設計だ。
この場合、QRコードやURLは一種の bearer token になる。
もちろん、そのURLが漏れたら困る。だから、推測困難であること、一定時間で失効すること、会計後に無効化されること、注文時に追加の状態検証があることは大事だ。
でも、「QRを知っている人に権限がある」という設計自体を脆弱性と呼ぶのは乱暴だと思う。
もしそれを否定するなら、QRオーダーというUX自体がかなり成立しにくくなる。
どんなWebサービスでも、公開API、ログイン後API、管理API、参照API、更新APIは混在する。
メニュー検索のような公開に近いAPIが非保護で、注文や決済や管理機能が保護されているなら、それは普通の設計だと思う。
「保護APIと非保護APIが混在している」というだけでは、脆弱性の説明としては弱い。
今回の記事で一番気になったのは、非公式クライアントから叩けること、Origin / Referer の話、CSRF の話、スクレイピングの話、スタッフ呼び出しの話が、かなり雑に一つの「脆弱性」としてまとめられているように見える点だ。
もちろん、改善した方がいい点はある。
特にスタッフ呼び出しAPIは、いたずらを防ぐために何らかの制限を入れた方がいいと思う。
ただ、それ以外については、
が混ざっているように感じる。
でも、「重大な脆弱性です」という話にするなら、実際に何が守られるべき情報で、誰が、どの権限で、何を不正にできるのかをもう少し分けて考える必要があると思う。
少なくとも、自分には「スタッフ呼び出しAPIは直した方がいい。ただし、それ以外はそこまで大きな問題には見えない」というのが率直な感想だった。
「『GitHub』への不正アクセス発生に関するお知らせとお詫び(第一報)」という告知といっしょに公式のXの方で講座の連携を止めてますって告知が出た。
この告知があって、Xでは家計簿アプリ使うのやめましたって声が多くなっている印象がある。
でもあまり、クラウド会計使うのどうしようって話題はあまりないことが気になる。
一応、クラウド会計公式サイトの方にも告知は出ているのだが、
でも、売上規模の小さい家計簿の方を話題にしてほしかったのかなぁとか思ってしまったり。
----
> 当社がソフトウェア開発およびシステム管理に利用している『GitHub』※1の認証情報が漏えいし、これを用いた第三者による不正なアクセスが発生し、『GitHub』※1内の「リポジトリ」※2がコピーされたことが判明しました。
>・マネーフォワードケッサイ株式会社が提供する『マネーフォワード ビジネスカード』に関わる370件の「カード保持者名(アルファベット)」および「カード番号の下4桁」
Github のリポジトリのコピーによて、「カード保持者名(アルファベット)」および「カード番号の下4桁」が流出したのはわかりやすかったんだと思う。
ただ、マネフォって採用資料にあるようにたくさんのサービスを提供していてマイクロサービス化を進めているみたいだけど、
https://image.itmedia.co.jp/l/im/ait/articles/2204/19/l_ait_220419_mf2.jpg
https://image.itmedia.co.jp/l/im/ait/articles/2204/19/l_ait_220419_mf3_2_w290.jpg
今回の攻撃で、コピーされたソースコードの範囲って全体のどこなんだろうか?
家計簿と SaaS が両方とも連携止めているのってここで説明されているアカウントアグリゲーション基盤を止めてるってことなのかなと思った。
https://cocre.moneyforward-x.co.jp/service/product
> ・ソースコードに含まれる各種認証キー・パスワードの無効化と再発行の実施(概ね完了)
が、どのサービスに含まれていたものなのかは言及がないし、実はもっとヤバい用途の認証情報が漏れていたりして。
アカウントアグリゲーション基盤を止めてるとしたらそこからの邪推なんだけど、認証キーの種別によっては、
マネフォ内のシステムから銀行のシステムにアクセスするために使うものだったりしないだろうか。
が「概ね」ってことは、連絡しないとぱっと洗替ができないものがあって、しかもGWだから作業が進められないなんてことはないよね?
また、それを使われてマネフォの外のシステムに不正にアクセスされるなんてことはないよね?
> なお、流出したソースコードおよび個人情報の不正利用等による被害や、お客さま情報を格納している本番データベースからの情報漏えいは確認されておりません。
けど、現時点で悪用される可能性が残っているなら、もはやマネフォのサービスの範囲ではないし、
マネフォを一切使っていない誰かにも影響出ることだし、ちゃんと説明してほしいな、と思う。
このGW中、何もないといいなと本当に思うよ。
“上司の側は「それはダメだろ」「ふつうそんなことしないだろ」と従来の常識で判断しがちだが、90年代以降に生まれた若い世代(ITネイティブ世代)にとっては、「日常を共有する」「その場で反応する」ことがコミュニケーションの基本となっている。投稿は特別な行為ではなく、会話の延長線上にある”
“SNSが生活インフラとなった現在、若い世代を批判するだけでは不十分だ。従来の「常識」だけで組織を守ることは難しいという現実を、管理職側も理解する必要がある”
https://news.yahoo.co.jp/expert/articles/3c27b1e99bfef1811bd95a3da0c108a4d8d42654
大阪国税局は、20代の職員が警察を名乗る何者かに調査中の納税者情報を漏えいさせてしまったと発表し、おわびしました。
4月13日に、職員の携帯電話に千葉県警を名乗る何者かから、「捜査の過程で(職員に)嫌疑がかかっている」との内容の電話があり、そのまま人物らとやりとりする中で、職業を問われ「税務署」と回答したところ、業務に関係する書類を送るよう要求されたということです。
職員は、個人情報179件、法人情報80件の計259件の情報をLINEで送信したということです。
その後、電話をつないだまま他の職員に相談したところ、詐欺で使用されている電話番号と判明し電話を切ったということです。
職員は聞き取りに対し、「いきなりフルネームを言われ、畳みかけるように事件の嫌疑がかけられていると言われ、警察手帳を画面越しに見せられて信用した。動揺して、身の潔白を証明するために、言いなりになってしまった」と話しているということです。
大阪国税局は総務部長名で「税務行政に対する信頼を損なう事案が発生したことは誠に遺憾で、深くお詫び申し上げます。」などとコメントしています。漏えい対象となった納税者に対しては、順次経緯を説明して謝罪し、二次被害防止のため注意を呼びかけているということです。
交際していた女性に捜査情報を漏えいしたとして、法務省は26日、さいたま地検の
阿南健人検事(35)
を懲戒免職処分とした。同日、国家公務員法(守秘義務)違反の罪で略式起訴され、罰金30万円の略式命令を受けた。即日納付された。さいたま地検が明らかにした。関係者によると、元検事はマッチングアプリを通じて女性と知り合ったという。
地検によると、元検事は既婚者でありながら、独身と偽って女性と交際していた。漏えいを認めた上で「交際相手が心配で、頼りになると思ってほしかった。深く反省している」と話している。
元検事は静岡地検沼津支部に勤務していた昨年6月20日ごろ、検察官が利用できる端末から入手した情報などを記載した付箋を、当時交際していた女性に渡した。情報には女性とトラブルになっていた人物の刑事裁判の判決日や、判決内容などが含まれていた。
「ウクライナ人」名乗りスパイ活動か、在日ロシア通商代表部元職員に出頭要請…精密機械製造会社元社員が機密情報漏えいか (読売)
https://b.hatena.ne.jp/entry/4782026923413096577/comment/saihateaxis
<社説>スパイ防止法 危うい兆候見過ごせぬ:東京新聞デジタル
https://b.hatena.ne.jp/entry/4778089201272349153/comment/red_kawa5373
red_kawa5373 2023-03-16〜
https://b.hatena.ne.jp/entry/4738659926369298597/comment/BIFF
今夜のNHKスペシャルすごかったというかひどかった (増田)
https://b.hatena.ne.jp/entry/4782271955460272002/comment/Bryntsalov
右翼がやらかすと左翼がオウンゴール決めはじめるのなんなの? (増田)
https://b.hatena.ne.jp/entry/4779510269313301217/comment/yujimi-daifuku-2222
維新・鈴木宗男氏「何があっても露は負けない」 侵攻長期化巡り | 毎日新聞
businessart 2020/07/17〜
史上最も暑い夏だった…なのに電力逼迫しなかったわけとは 原発再稼働は本当に必要なの?<ニュースあなた発>:東京新聞デジタル
<社説>スパイ防止法 危うい兆候見過ごせぬ:東京新聞デジタル
https://b.hatena.ne.jp/entry/4778089201272349153/comment/m7g6s
m7g6s 2021-05-22〜
<社説>スパイ防止法 危うい兆候見過ごせぬ:東京新聞デジタル
https://b.hatena.ne.jp/entry/4778089201272349153/comment/tacticsogresuki
tacticsogresuki 2022-07-28〜
「宗教右派」が政権に力を持つかぎり「夫婦別姓」の実現はあり得ない 国連勧告が出ても、賛成論が増えても:東京新聞デジタル
https://b.hatena.ne.jp/entry/4760934188902809504/comment/stamprally
高市首相、国旗損壊罪「必ず実現」【26衆院選】(時事通信) - Yahoo!ニュース
https://b.hatena.ne.jp/entry/4782226093774433538/comment/tikuwa_ore
あの党が言っていることがメチャクチャでも当選できる理由(日経ビジネス)
https://b.hatena.ne.jp/entry/4775330772405898881/comment/gonai
外務省 ウクライナや周辺国担当する「中東欧バルト室」新設へ | NHKニュース
https://b.hatena.ne.jp/entry/4773900757910572833/comment/odenboy
山上徹也は死刑になるのか | 鈴木 エイト | 文藝春秋PLUS
https://b.hatena.ne.jp/entry/4777417330035568033/comment/satomi_hanten
「ウクライナ人」名乗りスパイ活動か、在日ロシア通商代表部元職員に出頭要請…精密機械製造会社元社員が機密情報漏えいか (読売)
https://b.hatena.ne.jp/entry/4782026923413096577/comment/pikopikopan
交際していた女性に捜査情報を漏えいしたとして、法務省は26日、さいたま地検の
阿南健人検事(35)
を懲戒免職処分とした。同日、国家公務員法(守秘義務)違反の罪で略式起訴され、罰金30万円の略式命令を受けた。即日納付された。さいたま地検が明らかにした。関係者によると、元検事はマッチングアプリを通じて女性と知り合ったという。
地検によると、元検事は既婚者でありながら、独身と偽って女性と交際していた。漏えいを認めた上で「交際相手が心配で、頼りになると思ってほしかった。深く反省している」と話している。
元検事は静岡地検沼津支部に勤務していた昨年6月20日ごろ、検察官が利用できる端末から入手した情報などを記載した付箋を、当時交際していた女性に渡した。情報には女性とトラブルになっていた人物の刑事裁判の判決日や、判決内容などが含まれていた。
「先輩の頼み」で国家機密が流出! 府警の暗部、暴かれた“沈黙の連鎖”
羽曳野署の警部補(56)が、かつての“先輩”であり府警OBの行政書士(68)に個人情報を漏らしていた その事実が明らかになった。
「ちょっとした頼みだった」
これは、“義理”と“沈黙”に支配された警察組織の、暗黒の構造犯罪なのだ!
本来なら犯罪捜査のための公文書を、個人の人間関係に利用していた。
その瞬間、国家の信頼は裏切られた!
内部の誰も声を上げないなぜか?
「先輩だから」「頼まれたから」 そう言い訳して、沈黙の鎖が組織を締め上げている。
正義を守る者が、今やその正義を売り渡す側に回る この皮肉を、誰が許せようか!
その誓いが、「先輩の頼み」で崩れた瞬間
我々の社会は、誰を信じればよいのか?
これは単なる不祥事ではない。
VISAは駿河屋を含む色んなサイトで何年も使用してるが一度も不正使用(の通知)は無かった。
駿河屋でVISAが使えなくなったので、仕方なく去年に作ったJCBのカードを駿河屋のマケプレでの
支払いに使用したら、初めての不正利用。海外からの購入で、引き落とされた金額が足りなかった
おかげで、結果的に不正使用はされず。海外からの使用出来ないように設定(アマゾンプライムなど
国内で運営する外国企業への支払いが利用できなくなる)した十数分後に、又、海外からの不正使用が
あったが、「海外からの利用禁止」に再設定した後だったので、引き落とされずに助かった。
一応、IDとパスワードも再設定したけど、これで大丈夫なんだろうか。今年に入ってからJCBを使ったのは
駿河屋のマケプレでの購入のみ。それ以外の支払いはすべてVISAを使用。VISAには何も問題は無し。
※追記。8月8日に駿河屋から重大発表があったらしい。全く知らなかった。登録してるのに通知されてない。
第三者不正アクセスによる個人情報漏えいとクレジットカード決済停止に関するお詫びとお知らせ _ 中古・新品通販の駿河屋
anond:20250622084410 の続き。なお日付はJAによるプレスリリースまたはメディア報道があった日。
取引先やJAグループの関係者、知人らあわせておよそ400人の個人情報を貸金業者を名乗る人物に漏えい。さらに定期預金200万を着服。
共済契約の個人情報3,741人分が記載された世帯保障台帳を紛失。当時共済契約の解約が相次いでおり、管理担当者が怪しいと踏んで調べるも真相解明されず。
常務理事が組合員から管理を委託されていた積立金2500万を不適切に流用。さらに組合組織総会の監査報告書や議事録を偽造
職員が共済契約者12,032名の個人情報をUSBメモリで勝手に持ち出して漏えい
本人の意向確認を経ずに勝手に共済契約を締結。さらに266万円着服
・馬路村農協で1100万円着服 従業員が直売所売上金を持ち出す
・架空の中古車取引で会社から2700万円だまし取ったか JA子会社の元社員2人を詐欺の疑いで逮捕 宮城・栗原市
・JA職員がコメ2500キロ横流し、100万円を着服…制止されても積み込み作業を強行 JAしおのや
農協の金融系不祥事のオンパレードは、Wikipediaにある「神奈川県警の不祥事」と同レベルかそれ以上に見える。Wikipediaに単独記事書いても怒られないかも。めんどくさいからしないけど。
先ほど、NHKで損保ジャパンの情報漏洩事故について報道が出た。
1750万件というのは、国内の漏洩事例のなかでは5指に入るくらい、かなり大きい規模だ。
もっとも、マイナンバーやクレカ・口座情報は漏洩しなかったようなので、影響度で考えるとそこまで大きくないと見ることもできる。
この事例を眺めていて面白いと感じたポイントが2つあったのでずらずらと書いた。
不正アクセス自体は4/17~4/21にかけて発生したようだ。その後、4/25に損保ジャパンが第一報を出している。
(https://www.sompo-japan.co.jp/-/media/SJNK/files/news/2025/20250425_1.pdf)
おそらく、第一報の後に調査やら金融庁への報告を行い、再発防止をとりまとめ、金融庁に再度報告、それから今回のリリースといった流れだろう。
流出情報の特定に時間がかかりそうなことを踏まえると、大企業にしてはそれなりにスピード感のある対応のように思える。
※筆者は損保での経験はないが、銀行や生保のシステムに携わった経験があり、金融システムの複雑性についてある程度勘所がある。そのため、今回のような事例で被害件数や他システムへの影響などを調べるのにかなり手間がかかりそうで、1か月ちょっとで正式発表まで持って行けたのはかなり汗をかいただろうと想像している。
気になったのはこのポイント。「指標管理を主としたサブシステム」とは、データ分析やBIを行うためのシステムのように見える。
こんなシステムに生の個人情報を大量に入れるわけはないので、おそらくこのサブシステムへの侵入を土台に、他システムやDBへアクセスされた(水平移動)と見るのが妥当ではないか。
「損保ジャパン 指標管理 システム」でGoogle検索するとそれらしきシステムの紹介が2つ出てくる。
こちらは今年3月に日経に載った、営業社員の活動管理システムだ。システムの内容はよくある行動管理系のもので目新しさはない。
営業管理系のシステムというのは基本的に社内で完結するため、情報漏洩のリスクは低い。社内NWからしかアクセスできないよう設計するのが一般的だからだ。
今回のケースはこちらのシステムではないか。ページ右下に「「SOMPO Report」の提供開始」とあり、”保険代理店自身が指標やアンケート結果を管理・確認できるツール「SOMPO Report」の提供を開始しました。複数の指標の総合的な分析に加え、お客さまアンケート結果をタイムリーに確認できることで、お客さまの声に基づく保険代理店の業務改善・品質向上を支援しています。”と書かれている。
SOMPO reportで検索すると代理店が画面をアップロードしてくれている。俺が心配することじゃないけどこれってWebにアップして大丈夫なのか?
https://lifesupport.agency/download/kpi-kanri.pdf
これを見るに、お客様アンケートの結果を集計して代理店活動にフィードバックするようなシステムに見える。
生の個人情報をこのシステムに保管しているかは不明だが、アンケートの集計に当たり契約者情報を参照しているのだろう。今回は、このシステムへの不正アクセスが行われ、その後にこのシステム自体の参照権限を用いるなどして個人情報が抜かれたのではないだろうか(現時点で公表されている情報は何もないため、これは妄想だ。不正アクセスの手段というのは非常に多岐にわたるので、これ以外の手法である可能性も全然ある)。
保険になじみのない人向けに説明すると、日本の大手損害保険は代理店方式で商売をしている。保険の提供や保険金の支払元は保険会社だが、保険を消費者(業界では契約者と呼ぶ)に販売するのは代理店だ。
損害保険と言えば自動車保険が最も有名だが、自賠責でも任意でも、保険の加入はディーラーや中古車販売業者で行う人がほとんどだろう。この場合、ディーラーや中古車業者が「保険代理店」として保険を売る資格を有しており、販売を代行しているという図式だ。
保険会社と代理店は全く別の会社なので、上記のSOMPO Reportのようなシステムを保険会社から代理店に提供する場合、インターネット経由でアクセスさせることが多い。このとき、セキュリティ対策をきちんとしないと不正アクセスされてしまうリスクが多いというわけだ。
余談だが、普通は代理店向けに保険会社が総合窓口的なシステムを提供し、その中の1メニューとして各システムが存在するという方式が一般的だ。ただし、保険というのは非常に情報システムが多く、1人のユーザーに対していくつもの異なるWebページを異なるユーザー情報で利用させるような仕組みがまだまだ残っている。SSOは一部分だけ導入済みというのが実情だ。更に脱線するが、保険代理店というのは複数の保険を扱うことが一般的だ。東京海上、損保ジャパン、三井住友海上、あいおい同和の大手4社に加えていくつか扱っているというケースが多い。それぞれの保険会社が複数のシステムに個別のIDを設定するため、代理店が業務全体で管理するユーザー情報が膨大になって業務を圧迫している。早く何とかしてほしい。
2024年10月に金融庁が「金融分野におけるサイバーセキュリティに関するガイドライン」(https://www.fsa.go.jp/news/r6/sonota/20241004/18.pdf)をリリースしたのは業界関係者なら記憶に新しいだろう。保険業界を含む金融分野の情報システムについて、実施するべきサイバーセキュリティ対策や管理方針をまとめたものだ。
メガバンクや証券会社、カード会社、保険会社はこのガイドラインへの対応でそれなりに手間をかけている。今回のインシデントを受け、ガイドラインが更新・加筆されるようなら追加の作業が発生して現場としてはかなり面倒なことになりそうだ。ベンダの立場からすると追加の発注をもらえるのでありがたいところだが……
個社の事故を受けてガイドラインに手を加えるようなことを金融庁がするか?と言われるとそんなことはなさそうな気もする。ただ、今回は件数が大きく、事故の詳細な内容によっては監督官庁として手綱を強める必要を感じるかもしれない。面倒なことにならないといいのだが……
損保ジャパンをはじめとするSOMPOグループの中には、セキュリティベンダも存在する。
「SOMPOリスクマネジメント株式会社」という名前で、脆弱性診断からセミナー、各種セキュリティ製品導入まで手広くやっているようだ。
従業員数は560名。セキュリティ会社としては大きめだろう。参考までに、ラックが2,295名、エムオーテックスが472名、GMOイエラエが302名。
外販事業で知名度が高い印象はないのでグループ会社向けにもセキュリティ診断等を提供しているものだと思うが、今回のシステムの診断とかはやっていたんだろうか。
正直なところAIの登場でマルウェア製作とかゼロデイ攻撃とかが簡単になってるし、侵入されてない/侵入され得ない大企業ってほとんど存在しないのでは?
IIJにサイバー攻撃、407万人分のパスワードやメール本文など流出の可能性
なんで、企業はクラウド共有がセキュリティリスクガーでメール添付を要求するがメール添付の方が安全という訳ではないし生産性も落ちる
ヤバすぎるぞ
小・中学校で使用「校務用メール」情報漏えいか 75校1400件のアカウント IIJサイバー攻撃で…旭川市
https://news.yahoo.co.jp/articles/88c504a8efeac3ecd6aa450315ef37d9916a4a1d
【京大×東大発】サイバー攻撃の9割はメールから。AI自動リスクスコア化メール特化型セキュリティプロダクト「メールの通信簿まもる」を開発。
