2014-04-19
三菱UFJニコスがOpenSSLの脆弱性を突かれて不正アクセスを受けた件をまとめてみた
インシデントまとめ | |
三菱UFJニコスのWebサイトが不正アクセスを受け、会員情報が不正に閲覧されたと発表しました。ここでは関連する情報をまとめます。
概要
2014年4月11日に三菱UFJニコスが自社Webサイトで不正なアクセスを検知し、Webサイトを停止。その後詳細な調査結果として、4月18日に第3報を公開し、そこでOpenSSLの脆弱性(恐らくCVE-2014-0160)を悪用した不正アクセスであったことを報告。
- 三菱UFJニコスの不正アクセスに関連した発表
- 2014/4/11 弊社Webサイトへの不正アクセスについて(PDF)
- 2014/4/12 不正アクセスに伴い停止させていただいた弊社Webサービス再開のお知らせと会員様へのお願い(PDF)
- 2014/4/18 弊社会員専用WEBサービスへの不正アクセスにより一部のお客さま情報が不正閲覧された件(PDF)
(1) 被害状況
- 不正閲覧会員数 894名(延べ)
- カード発行業務を受託している先の会員を含む
- 不正閲覧された情報概要
- クレジットカードの不正利用は確認されていない
(2) 発端
(3) 原因
(4) 三菱UFJニコスが停止したWebサイト
以下は11日14時30分から12日7時33分まで三菱UFJニコスが停止していたWebサイト。ただし、全てにおいてOpenSSLの影響を受けていたかは発表されていない。
- NEWS+PLUS
- MUFJカードWebサービス
- DC Webサービス
- Web会員サービス「Net Branch」
- POINT名人.com
- 三菱UFJ提携カードサイトからの上記サービスの利用
- Webサイトからのクレジットカード申込み
- 停止したWebサイトのドメインの証明書で2つが再発行されている模様
- 証明書の再発行については公式発表・報道は行われていない。
No | ドメイン | Webサーバー | 証明書有効期限開始日 | Webサイト | SSL Labs ServerTest |
---|---|---|---|---|---|
1 | www.cr.mufg.jp | Apache | 2014年4月11日 | MUFJカードWebサービス DC Webサービス Web会員サービス「Net Branch」 | HeartBleed:No (2014/4/20 Checked) |
2 | www2.cr.mufg.jp | Apache | 2014年4月11日 | NEWS+PLUS | HeartBleed:No (2014/4/20 Checked) |
3 | www.point-meijin.com | Apache | 2013年12月2日 | POINT名人.com | HeartBleed:No (2014/4/20 Checked) |
(5) 対応・対策
- 対応
- 対策
- システムの防衛体制のさらなる強化
- ネット不正対応専門チームの組成
インシデントタイムライン
- 2014/4/8
- 2014/4/8〜11
- 2014/4/9夜〜11午前
- 2014/4/9
- 2014/4/11
- 2014/4/12
- 2014/4/18
- 不正アクセス被害の詳細調査結果を発表(第3報)
参考
徳丸さんが特設デスクへの問い合わせ内容をつぶやいていたのでメモ
三菱UFJニコスの特設デスクに電話してみました。まず、私の会員情報は漏えいしていないのかと聞くと、該当会員についてはメールでも連絡しているが、この場でも調べられるとして、氏名と生年月日を伝えたところ、「徳丸様の情報は漏えいの対象になっていないのでご安心ください」とのこと(続く)
— 徳丸 浩 (@ockeghem) 2014, 4月 20
徳丸「OpenSSLの脆弱性(リリースにあった言葉を使用)では、不正アクセスの記録が残らないと聞きましたが、どうやって調べたのですか? 」と聞いたところ、しばらくお待ち下さい、の後(続く)(続く)
— 徳丸 浩 (@ockeghem) 2014, 4月 20
UFJニコス「不正アクセスの期間が分かっていて、その期間、起点となったIPアドレスからのアクセスに含まれていないことで判断しました」。徳丸「Webアクセスについて分かりましたが、例えばパスワードを入力した内容がメモリに残っていて、それが漏えいしていないとは言い切れないのでは?」
— 徳丸 浩 (@ockeghem) 2014, 4月 20
UFJニコス「当社では不正アクセスの監視をしておりまして」。徳丸「OpenSSL脆弱性への攻撃を監視する(フルパケットキャプチャのような)特殊な装置がないとできないと思うのですが、それを実施されていたのですか?」UFJニコス「詳細についてはセキュリティ上の理由で回答できません」
— 徳丸 浩 (@ockeghem) 2014, 4月 20
【続き】ということで、おそらく不正アクセスを検知した後、不正アクセスの起点のIPアドレスと期間を絞り込み、その期間そのIPアドレスからアクセスされた会員の人数を発表しているのだと推測しました。
— 徳丸 浩 (@ockeghem) 2014, 4月 20
【続き】侵入経路は聞いていませんが、昨日ツイートしたように、漏えいしたセッションIDを用いたものと推測します。パスワードが本当に漏れていないかは、電話で聞いた内容からは判断できませんが、グレーなのではないかという印象。【とりあえず終わり】
— 徳丸 浩 (@ockeghem) 2014, 4月 20
更新履歴
*1:三菱UFJニコス、個人情報894人分流出か,朝日新聞,2014/04/19アクセス:魚拓
*2:暗号化ソフトに欠陥、894人の情報漏洩か 三菱UFJニコス,日本経済新聞,2014/04/19アクセス:魚拓
*3:三菱UFJニコス被害 暗号化ソフト欠陥 894人情報流出か,産経新聞,2014/04/20アクセス:魚拓
*4:暗号化ソフト狙った攻撃で情報流出か,NHK,2014/04/19アクセス:魚拓
*5:OpenSSL:三菱UFJニコス894人個人情報流出か,毎日新聞,2014/04/19アクセス:魚拓
*6:OpenSSL:三菱UFJニコス、タイムラグを狙われる,毎日新聞,2014/04/20アクセス:魚拓