piyolog

2018年2月のデータリークに関連する国内サイトの被害についてまとめてみた

インシデントまとめ | 12:06 |

2018年2月にインターネット上でメールアドレスなどを含む大量の情報が公開されていると報じられました。

リークされた情報には日本国内も含まれていたとみられ、その後この件との関連が疑われる発表が複数のWebサイトで行われています。ここでは関連する情報をまとめます。

約3,000のデータベースリーク

• この件がオープンとなったのは、HackReadがHacked-DBからのタレコミを受け、2018年2月に明らかにされた以下の情報が契機とみられる。

取り上げられたリークの概要は以下の通り。

• 約3000のデータベースの中身とみられる情報が公開されていた。データサイズは約9GB。
• データの多くは初めて確認されたものが多かった。2011年から2018年までに取得されたものとみられる。
• 公開場所についてHackReadでは「ダークウェブ上で」とされている。
• データ自体はファイル共有のWebサイト上で誰でもダウンロードができる状態にあった模様。
• ファイルの一覧は次のPastebin上で明らかにされている。
• ファイル名に含まれるURLらしき文字列が関連するWebサイトから何らかの手段で取得したものとみられる。

• データベースには次のようなデータを含む約20億件のユニークなユーザー情報が含まれていた。
  • メールアドレス
  • 固有のIPアドレス
  • 潜在的な個人情報
  • 潜在的な口座情報
  • 一意なアカウント識別子
  • 組織や個人に関連する機密情報

Troy Hunt氏の分析

• Troy Hunt氏はこの件を受けてデータを探したところ、Haked-DBが確認したものとは少し違うものを発見したと報告している。

Troy Hunt: I’ve Just Added 2,844 New Data Breaches With 80M Records To Have I Been Pwned

Troy Hunt氏がそのデータを分析したところ、

• HackReadの記事よりも4日前によく知られたハッキングフォーラムに投稿されていた。
• 単一のZIPファイルに約8.8GBのサイズでダウンロードが可能な状態となっていた。
• ファイルはテキスト形式のものが2,889個含まれていた。
• 大半はメールアドレスと平文のパスワードであった。
• 重複した情報などをデータを精査し、Troy Hunt氏は最終的に次のデータを確認している。

メールアドレス	80,11,532件
ファイル	2,844個

• ファイルの一覧はPastebin上で明らかにされている。
• 流出の有無についてHIBP上で確認を行うことが可能となっている。

これらのデータはどこにリークされていたのか

• インターネット上では関連すると思われる痕跡がいくつか確認された。

• リーク情報は複数個所に出回っていた模様。プレミアム・アウトレットの場合、調査により5か所でデータの存在を確認したと発表している。
• Hacked-DBとTroy Hunt氏それぞれが公開しているPastebinの差分はこれです。
• Pastebin上にはファイルの行数を加えたとみられる情報も公開されていた。

このリークを取り上げる国内の動き

2社がこの情報に関連する動きを見せており、それに合わせて報道が出ている。

KELA

• 2018年4月3日に中央省庁のメールアドレス 約2000件が流出しているといった報道が出ている。*1
• 2018年2月の闇サイト上での膨大なデータの掲載をきっかけに判明したものとされ、この件に関連するものとみられる。
• 2,111件が確認され、公用のメールアドレスや、通販サイトなどで利用していたとみられるパスワードが確認されている。
• 対象は外務省、経済産業省、総務省、国土交通省など中央省庁の職員のもの。
• 2018年4月4日の記者会見で菅官房長官は政府システムからの流出は否定している。
• NISCも各省庁へのサイバー攻撃による流出は確認していないとしている。
• データの中には現在利用されていないものが含まれていた。
• さらにNISCはこの件を受けて、全省庁に対して公用アドレスの使用やパスワードの使いまわしを行わないことなど注意喚起を行っている。

ソリトンシステムズ

• サイバー攻撃者の巨大ファイルを発見したと発表。
• この中に「2,800サイト」と同社が通称しているものがあり、数字からこの件に関連するものとみられる。

関連タイムライン

関連する動きをまとめると以下の通り。

日時	出来事
2018年2月19日	ハッキングフォーラム上でこの件に関連する投稿が行われてた。(Troy Hunt氏確認による）
2018年2月22日	がん治療認定医の所属先から日本がん治療認定医機構へ情報流出の情報提供。
2018年2月23日	Haeked-DBのリークデータ発見を報じるHackReadの記事が公開された。
2018年2月26日	Troy Hunt氏がこの件を取り上げた分析記事を公開した。
2018年2月28日	兵庫県警察が尼崎市へ情報流出の可能性があると情報提供。
2018年2月28日	兵庫県警察が宝塚山本ガーデンクリエイティブ株式会社へ情報流出の可能性があると情報提供。
2018年3月9日	尼崎市が不正アクセス被害を発表。
2018年3月22日	日本がん治療認定医機構が登録情報の流出を発表。
2018年3月23日	兵庫県警察が宝塚山本ガーデンクリエイティブ株式会社へ情報流出の可能性があると情報提供。
2018年4月3日	国内で中央省庁職員アドレス流出の報道。NISCが各省庁に対して注意喚起。
2018年4月6日	日経xTechが三菱地所・サイモンへ情報流出の可能性があると情報提供。
2018年4月14日	三菱地所・サイモンが会員情報の流出を発表。
2018年4月27日	宝塚市、宝塚山本ガーデンクリエイティブ株式会社が不正アクセス被害を発表。
2018年5月8日	ソリトンシステムズがこの件を含む大量のデータを確認したと発表。
〃	ビープラッツ株式会社が情報流出の被害を把握。
2018年5月10日	ビープラッツ株式会社が不正アクセス被害を発表。

関連が疑われる国内事例

Troy hunt氏が公開したPastebin上で、.jp/.jp.comのドメインが含まれるファイル名は全部で84件存在する。

また2018年6月8日現在、以下の5つのサイト*2において、情報漏洩の被害が発表されている。

• 尼崎市（健診すずめ通信）
• 日本がん治療認定医機構（変更届システム）
• 三菱地所・サイモン（ショッパークラブ）
• 宝塚山本ガーデン・クリエイティブ株式会社（あいあいパーク）
• ビープラッツ株式会社（licensestore.jp）

以下は各事案の個別まとめです。（後日詳細を追加します。）

尼崎市（2018年3月9日発表）

被害を受けたWebサイト：健診すずめ通信（閉鎖中）

• 2018年3月10日 （魚拓）健診すずめ通信のWEBサイトへの不正アクセスに関するご報告
• 2018年4月19日 健診すずめ通信のWEBサイトへの不正アクセスに関するご報告

日本がん治療認定医機構（2018年3月22日発表）

被害を受けたWebサイト：変更届システム（閉鎖中）

• 2018年3月22日 不正アクセスによる登録情報の流出に関するご報告とお願い

三菱地所・サイモン（2018年4月14日発表）

被害を受けたWebサイト：プレミアム・アウトレット ショッパークラブ（臨時サイト）

• 2018年4月7日 [PDF] 会員情報流出の可能性について
• 2018年4月14日 [PDF] ショッパークラブ会員情報に関するご報告
• 2018年6月7日 [PDF] ショッパークラブ会員情報の流出に関する調査結果のご報告

宝塚山本ガーデン・クリエイティブ株式会社（2018年4月27日発表）

被害を受けたWebサイト：あいあいパーク

• 2018年4月27日 [PDF] 不正アクセスによるお客様情報流出の可能性に関するお知らせとお詫び

ビープラッツ株式会社（2018年5月10日発表）

被害を受けたWebサイト：licensestore.jp（過去に運営されていたサイト）

• 2018年5月10日 過去の当社運営サイトにおける不正アクセスに関するご報告

更新履歴

• 2018年6月8日 AM 新規作成