流出元が不明！?　32万件の決済情報はどこから漏れた

October 12, 2016 08:00
by 江添 佳代子

9月12日、一人のセキュリティ研究者が、決済に関するデータを含めた個人情報32万件以上がオンラインにダンプされていたことを報告した。流出に関わったとみられる人物は、そのデータが決済代行サービス「Bluesnap」のものであると説明したが、当のBluesnapは被害を受けたことを否定した。

このインシデントは、これまでに繰り返されてきたような顧客情報の漏洩事件とは少し事情が異なっている。漏れたデータの件数や内容は深刻である一方で、「どこから漏れたのか」が判明するまでに紆余曲折があった。そして結局のところ「何が原因で起きた事件なのか」は現在もはっきりしていない。

ダンプされ、数日で削除されたデータ

すべての始まりは、0x2Taylorと呼ばれる人物が2016年7月10日に記した一つのツイートだっただった。該当のツイートやレスへの返信などは削除されているが、現在でも「archive.is」に残されたアーカイブを見ることができる。

このツイートは「Bluesnapのデータベース」にアクセスするためのURLを示したもので、そこには顧客のIPアドレス、メールアドレス、電話番号、住所、氏名、郵便番号、クレジットカードに関する情報などが含まれていることも示唆されていたが、それ以外の説明はなかった。つまり0x2Taylorはツイートの意図や経緯について何も語っていないため、これを犯行声明と断言するのは少々乱暴かもしれない。しかし、この問題について同時期に言及した者は他に見当たらず、また流出したデータそのものにも「0x2Taylor」の文字列が記されていたため、おそらく犯行に関わった本人（あるいは関係者）によるツイートだと考えられている。

リンク先のデータは、このツイートの数日後に削除された。そして0x2Taylorは有名な人物でもなかったため、そのファイルにアクセスした人数はあまり多くなかっただろう。しかし先述のアーカイブは、削除される前にアクセスした人々の反応も示している。入手したデータを彼らがどのように扱っているのかは知るよしもない。

ツイートに示された Bluesnapとは、29の言語と100の通貨、110の支払い方法に対応した国際的なサービスを提供している決済代行プロバイダーだ。2001年にイスラエルで誕生したときのブランド名は「Plimus」だったが、2011年に1億1500万ドルで買収されてからは米国拠点の企業となり、名前もBluesnapに改められた。日本ではあまり馴染みがないものの、決済サービス業界では世界的に有名なサービスのひとつで、今年に開催された業界の一大イベントPYMNTS Innovator Awards 2016でもMerchantSolution部門の最優秀賞を獲得している。

どうも業務内容にピンとこないという方には、やや大雑把だが「PayPal」のようなサービスをイメージしていただきたい。つまりBluesnapはネットユーザーへ直接的に商品を販売している小売店ではなく、またクレジットカード企業や銀行でもなく、「ユーザーがカード払いを行う際の、オンライン決済」の部分を担っている。

9月に発表されたデータの解析結果

0x2Taylorのツイートからリンクされていたファイルが本物の決済情報であるということを確認したのは、オーストラリアのセキュリティ研究者Troy Huntだった（ちなみに彼は、つい先日に言及した「LifeBoat侵害事件」にも登場した人物である）。

Huntはダンプされたデータを7月に入手していたものの、その直後に夏期休暇を取り、休み明けの8月の後半から調査を開始したため、彼のブログで解析結果が報告されたのは9月13日となった。つまり詳述が掲載されたのは、データが削除されてから約2ヵ月後だったということになる。

Huntの説明によれば、0x2Taylor がツイートしたURLは、ホスティングサービスMEGAにアップロードされたファイルへのリンクだった。このファイルには32万4380件のデータが含まれており、そのうち重複していないメールアドレスの数（≒ユニークユーザーと考えられる数）は約10万5000件。データの内容は「2014年3月10日から2016年5月20日までに行われた決済」の記録で、それぞれに氏名、住所（町名や郵便番号などの他に「国」を示す欄もある）、電話番号、IPアドレス、支払った金額、利用された言語や通貨、支払先のID番号、そしてクレジットカードに関する情報（カードの種類、カード番号の最後の４桁、CVV番号）や、オンライン領収書のURLなどが含まれていた。

このデータが本物の決済記録であるかどうかを確認するため、Huntは彼が運営しているサービス「Have I Been Pwned?（以下HIBP）」を利用した。HIBPは、自分の個人情報が過去のインシデントで流出していないかどうかをユーザーがウェブで照会できるプロジェクトだ（詳しくは前回の記事を参照いただきたい）。このHIBPには、将来的に自分のデータが流出したときに通知を受け取るための「Notify me」という無料サービスもある。自分のアドレスを事前に登録しておけば、HIBPのデータベースに自分のアドレスが追加されたときに通知してもらえる。こちらは、いわばHIBPのユーザー登録のような役割も果たしている。

Huntは「Notify me」に登録されている70万件のメールアドレスと、今回ダンプされた32万件の決済データのメールアドレスを比較し、重複したユーザーに調査協力を依頼した。「あなたは○○に住んでいますか？」「あなたは有効期限が○年○月のVISAカードを持っていますか？」「あなたは○年○月○日、○○という相手に○○ドルを支払いましたか？」「あなたのCVV番号は○で終わる数字ですか？」と記した細かな質問を彼らに送り、その回答を受け取ったHuntは、0x2Taylorの示したデータが間違いなく「本物の決済情報」だと確信した。

さらにHuntは、それがBluesnapの決済情報であることも間違いないだろうと考えた。そのデータベースにはPlimus（Bluesnapの旧名）の文字列が含まれており、またデータとリンクしているオンライン領収書のURLも「https://www.plimus.com」で始まっているからだ。

データはどこから漏れたのか？

しかし、そのデータがBluesnapから漏洩したものかどうかは分からない。つまり「Bluesnapの決済を利用している別のサービス（ユーザーが決済を行った個々のネットショップではなく、Bluesnapの決済プラットフォームを利用して、何らかのサービスを複数のネットショップ等に提供している別の組織）」から漏れたという可能性も考えられる。

Huntが漏洩ルートとして疑ったのは、オンライン登録のシステムを提供するサービスとして国際的に名の知れている「 RegPack」だった。RegPackは2013年4月からBluesnap のプラットフォームを利用しており、またHuntが連絡を取り合ったHIBPの登録者全員に、このRegPackとの関連性が認められたからだ。ブログの中でHuntは次のように主張した。「ほぼ間違いなく、これらの2つ（BluesnapとRegPack）のいずかに責任があるように思われる」

BluesnapとRegPackは当初、このHuntの主張を真っ向から否定した。このブログの記事が投稿された直後、両者はWired Business Mediaのセキュリティメディア「Security Week」やTony Huntに声明を送っている。それによると両者は、すでに今回の件に関してトップクラスのインシデントレスポンス企業に調査を依頼しており、「自社のサーバーにデータ侵害が起きていないこと」を確認しているという。

しかし後日、RegPackはHuntに新たな声明を送った。その内容は、今回の事件を扱ったHuntのブログの「Update 3」に記されている。RegPackは次のように説明している。「Regpackでは、すべての決算処理情報が暗号化されていることを確認していた。しかし定期的に、その情報は分析のために復号され、社内に保管されていた。この復号されたファイルがヒューマンエラーにより、パブリックに面しているサーバーに残されていたことを我々は確認した」

さらに RegPackは「データ損失のソースとなったのは、手続き上のヒューマンエラーだった」「RegpackもBlueSnapも自社のシステムは侵害されていない。そのことはフォレンジックの専門家たちによって確認されている」「RegpackとBlueSnapは、自社の環境の徹底的な再評価を行い、すべてのシステムが安全であることを確認した」とも述べた。

すっきりしない結末

つまりRegPackは「同社の暗号化されていない決済情報がサーバーに残されており、それが今回の流出事件のソースになった可能性がある」ということを認めた。しかし同社のセキュリティは強固であったため、システムへの侵害は一切なかったとも語っている。それが真実である場合、真っ先に疑われるのは内部犯行ということになりそうだ。つまりハッキングでないのなら、復号されたデータがサーバーに置かれていたかどうかは、あまり関係ないのでは……とも思われるが、推測で話を進めるのは止めておこう。

直接的な流出の原因はさておき、RegPackは「自社からデータが流出した可能性」をやんわりと認めた。そして同社は、自社の顧客（RegPackのサービスを利用している組織）に対し、彼らの顧客（それらの組織で決済を行ったユーザー）のデータが流出した可能性があることを知らせていくと語った。

このことは非常に重要である。なぜなら真の被害者は、間違いなく「決済に関する重要な個人情報がオンラインに晒されたユーザー」だからだ。通常、小売店や企業などで顧客の個人情報が危機に晒されるインシデントが発生した場合、その顧客への通知が真っ先に行われる。しかし今回の事件は「どこのデータが漏れたのか」がはっきりしていなかったため、その通知が行われていなかった。もしも2つの企業がいつまでも被害を認めずに、「我々のサーバーは侵害されていないのだから我々の責任ではない」と主張を続けていたなら、情報を晒されたユーザーたちに対して何の通知も行わないままになっていた可能性がある。そのデータが誰にでも入手できる状態であったことを考えれば、非常に恐ろしい状況だ。

ちなみに今回の流出データに含まれていたクレジットカードの番号は、最後の4桁のみだった。しかし最悪だったのは「CVV番号がそのままデータベースに残されていた」という点だ。すでに闇市場で取引きされているクレジットカード番号入りの個人情報は、CVV番号の含まれていないものが多い。それらのデータが今回の漏洩データによって補完され、「クレジットカード番号とCVVのセット」が完成した場合、誰でも簡単にオンラインでクレジット決済を行うことができてしまう。

RegPackのシステムを利用する組織で決済した経験のあるネットユーザーは、日本にはほとんどいないだろう。しかし昨今では、このような「クレジット決済に関わる個人情報の漏洩事件」が珍しくないうえ、決済システムを提供している企業や、その決済システムを利用して別のサービスを提供している企業が国際的なビジネスを行っているので、あまり聞き覚えのない海外ブランドのインシデントでも油断はできない。

また、決済情報の漏洩事故が発覚した直後に、ユーザーへの通知が行われるとも限らない。たとえば今回の事件では、個人情報流出が流出してから「ベンダーに通知されるまで」に少なくとも2ヵ月以上が費やされており、その各々のベンダーからユーザーへの通知が届くまでにはさらなる時間がかかっている。このような問題に巻き込まれることも考慮して、ユーザーは普段から利用明細をこまめに確認する習慣を身につけなければならないだろう。