piyolog

三菱UFJニコスがOpenSSLの脆弱性を突かれて不正アクセスを受けた件をまとめてみた

インシデントまとめ | 13:38 |

三菱UFJニコスのWebサイトが不正アクセスを受け、会員情報が不正に閲覧されたと発表しました。ここでは関連する情報をまとめます。

概要

2014年4月11日に三菱UFJニコスが自社Webサイトで不正なアクセスを検知し、Webサイトを停止。その後詳細な調査結果として、4月18日に第3報を公開し、そこでOpenSSLの脆弱性(恐らくCVE-2014-0160)を悪用した不正アクセスであったことを報告。

• 三菱UFJニコスの不正アクセスに関連した発表
  • 2014/4/11 弊社Webサイトへの不正アクセスについて(PDF)
  • 2014/4/12 不正アクセスに伴い停止させていただいた弊社Webサービス再開のお知らせと会員様へのお願い(PDF)
  • 2014/4/18 弊社会員専用WEBサービスへの不正アクセスにより一部のお客さま情報が不正閲覧された件(PDF)

(1) 被害状況

三菱UFJニコスが不正アクセスを受け、会員情報

• 不正閲覧会員数 894名(延べ)
  • カード発行業務を受託している先の会員を含む

• 不正閲覧された情報概要
  • クレジットカード番号(一部は非表示)
  • 氏名
  • 生年月日
  • 住所
  • 電話番号
  • メールアドレス
  • クレジットカード有効期限
  • WebサービスID
  • カード名称
  • 入会年月
  • 利用代金支払い口座(金融機関名、支店名)
  • 勤務先
  • 勤務先電話番号

• パスワード・暗証番号は閲覧されていない
  • クレジットカードの暗証番号やWebサービスのログインパスワードは不正閲覧されていない。

• クレジットカードの不正利用は確認されていない

(2) 発端

• Webサイトへ不正な通信を4/11 6:33に検知したことによる。

(3) 原因

• OpenSSLの脆弱性が未修正であったため
  • どのようにOpenSSLの脆弱性が悪用され会員情報が不正に閲覧されたのかについて明らかにはされていない。
  • 発表されている被害報告でOpenSSLの脆弱性が悪用された事例は国内では初めてとなる。

(4) 三菱UFJニコスが停止したWebサイト

以下は11日14時30分から12日7時33分まで三菱UFJニコスが停止していたWebサイト。ただし、全てにおいてOpenSSLの影響を受けていたかは発表されていない。

• NEWS+PLUS
• MUFJカードWebサービス　
• DC Webサービス　
• Web会員サービス「Net Branch」　
• POINT名人.com
• 三菱UFJ提携カードサイトからの上記サービスの利用
• Webサイトからのクレジットカード申込み　

(5) 対応・対策

• 対応
  • Webサイトの緊急停止
  • 被害状況の調査
  • 影響を受けた会員へID再設定等の連絡(メール、電話、郵送) *1
  • 対応窓口の設置
  • 不正アクセス被害に関する発表(合計3回)
  • 警視庁サイバー犯罪対策課に被害報告(被害届?) *2
• 対策
  • システムの防衛体制のさらなる強化
  • ネット不正対応専門チームの組成

インシデントタイムライン

• 2014/4/08
  • OpenSSL.orgから脆弱性情報CVE-2014-0160が公開される(詳細)
• 2014/4/9夜〜11午前
  • 不正なアクセスが繰り返される*3 *4
• 2014/4/11
  • 6:33 AM 不正アクセスを検知
  • 不正アクセスがOpenSSLの脆弱性を狙ったものであること判明
  • 影響範囲の調査を開始
  • 14:30 Webサイトを停止
  • 不正アクセス被害を受けたことを発表(第1報)
• 2014/4/12
  • 未明 OpenSSLのバージョンアップ対応
  • 7:48 Webサイトを再開
  • 不正アクセス被害状況、及びWebサイトの再開を発表(第2報)
• 2014/4/18
  • 不正アクセス被害の詳細調査結果を発表(第3報)

更新履歴

• 2014/4/19 新規作成

ツイートする