SPIRAL EC® 不正アクセスによる個人情報流出について
このたび、弊社が提供するアパレル特化型ECプラットフォーム「スパイラルEC®」により構築されたサイトにおいて、外部からの不正アクセスがございました。調査の結果、一部の個人情報が流出したことが判明いたしました。お客様及び関係者の皆様に多大なるご迷惑、ご心配をおかけしますことを深くお詫び申し上げます。また、発生から被害状況の確認までに時間を要してしまいましたことを重ねてお詫び申し上げます。
これまでに弊社が確認した事実と対応について、下記のとおりご報告申し上げます。
株式会社パイプドビッツ 代表取締役社長 CEO 林哲也及びパイプドHD株式会社 代表取締役社長 グループCEO 佐谷宣昭より、パイプドビッツが提供するサービスについて、一定の安全性が確認できたことをご報告いたします。
動画中で、現状のシステムの安全性確認及び脆弱性診断の内容と、今後の安全性強化策についても合わせてご報告しております。
株式会社パイプドビッツ 代表取締役社長 CEO 林哲也及びパイプドHD株式会社 代表取締役社長 グループCEO 佐谷宣昭より、本件の概要、経緯及び対応策等をご報告いたします。
弊社のスパイラルEC®に対する外部からの不正アクセスにより、個人情報が外部に流出したことが判明しました。
(1) 2016年4月18日 15時52分頃、外部からの不正アクセスにより、スパイラルEC®上でECサイトを運営している1社のサイトから個人情報 10,946件を含む注文情報 15,581件がファイルとして第三者によりダウンロードされました。
個人情報には以下の事項が含まれます。
注文者氏名、注文者住所、注文者メールアドレス(PC / 携帯)、注文者電話番号、注文者コメント、管理者コメント、配送先氏名、配送先住所、配送先電話番号、注文金額、送状番号等
なお、会員ID及びパスワードは注文情報に含まれておりません。クレジットカード情報につきましては、システム側で保有していないため流出しておりません。また、現時点で個人情報を悪用された等の報告はございません。
(2)スパイラルEC®上でECサイトを運営している43社53サイト314名の管理画面にアクセスする運営者のログインID及びパスワードのメッセージダイジェスト(不可逆暗号)のうちの一部がデータベースクライアントプログラムを用いて第三者に閲覧された可能性が高いと考えられます。データベース内容をファイルとして出力や、転送及びダウンロードされていないことを確認しています。
(3)上記のうち40社42サイトにおいて、データベースクライアントプログラムを用いて個人情報を含む約98万件の会員データのうちの一部が第三者に閲覧された可能性があります。データベース内容をファイルとして出力や、転送及びダウンロードされていないことを確認しています。
個人情報には以下の事項が含まれます。
注文者氏名、注文者住所、注文者メールアドレス(PC / 携帯)、注文者電話番号、注文者コメント、管理者コメント、配送先氏名、配送先住所、配送先電話番号、注文金額、送状番号等
なお、クレジットカード情報につきましては、システム側で保有していないため流出しておりません。また、現時点で個人情報を悪用された等の報告はございません。
(4)2社、2サイトが利用している決済代行サービスとの連携設定が第三者に閲覧されました。その他、22社24サイトの同設定がデータベースクライアントプログラムを用いて閲覧された可能性があります。データベース内容をファイルとして出力や、転送及びダウンロードされていないことを確認しています。現時点で連携している決済代行サービス会社に弊社システムからの不正な接続がないことを確認しています。
この設定及び該当サービスを利用した注文番号を用いると、注文金額を引き下げることが可能ですが、現時点で悪用された等の報告はございません。
本件情報流出に至った原因は以下のとおりです。
なお、調査の結果、以下を確認しております。
・攻撃者がOSのroot権限の奪取をできないこと
・攻撃者がWebDAVサーバ以外の他サーバへssh等のリモート接続をしていないこと
本件不正アクセスを受けて、以下の対策を講じております。
Webサーバにおいて不要なPUTメソッドを無効化することで、第三者が任意のファイルを設置することができるシステム構成上の脆弱性を解消しました。
ユーザーコンテンツ領域に対して、アクセスを許可すべきでないファイル拡張子(php等)のHTTP(S)リクエストを制限しました。
万が一、システムが意図しないファイルが設置された場合に検知できるよう指定した形式ファイルの存在確認を行うシステム監視を追加しました。
攻撃者によって設置された不正プログラムを特定し除去しました。
WebDAVサーバに対して、ウィルススキャンを実施し、他に危険性のあるファイルが存在しないことを確認しました。
調査の過程で把握した攻撃元IPアドレスとの通信を遮断しました。
日時 | 事象 | |
---|---|---|
2010 | 04/26 | スパイラルEC®をリリース。原因となったPUTメソッドによるアクセス可能な脆弱性はこの時点から存在していました。調査の結果、2015年11月まで当脆弱性を突いた不正アクセスは存在しないことを確認しています。 |
2015 | 11/12 21:58:00 | スパイラルEC®上で稼働するA社のECサイトへの脆弱性診断ツールを用いた攻撃が開始されました。 |
11/15 16:29:30 | 原因となったPUTメソッドによるアクセス可能な脆弱性を突き、暗号化された複数のファイル(ウィルスチェック等のフィルタを潜り抜けるためと思われる)を組み合わせて作られたバックドアPHPプログラム(WebShell)が設置され、WebブラウザからWebDAVサーバのファイル閲覧及びシェル操作が可能になりました。 | |
11/16 6:34:39 | 新たにバックドアPHPプログラム(Weevely)が設置されました。これによりシェルコマンドを遠隔操作可能になりました。11/12~22の間に最大5,400回のコマンドが実行された可能性があります。 | |
11/22 3:17:03 | 一連の脆弱性攻撃が終了しました。開始から終了まで合計約29万回のSQLインジェクションやクロスサイトスクリプティング等の脆弱性を突く目的の不正アクセスがありました。 この間、バックドアを利用して設定ファイル等310個のファイルの閲覧やダウンロードが行われましたが、いずれも個人情報は含まれておりません。 個人情報を含むデータベースの内容は閲覧された可能性はありますが、IDとパスワードのメッセージダイジェスト情報が閲覧された場合に発生しうるスパイラルEC®のサイト及び管理画面への不正ログインやログイン試行はありません。 | |
この後、2015/12/10、12/25、2016/3/6にバックドアPHPプログラムへのアクセスがありました。計75回程度のシェルコマンドの実行と2つのテンプレートファイルの閲覧が行われました。 個人情報を含むデータベースの内容は閲覧された可能性はありますが、IDとパスワードのメッセージダイジェスト情報が閲覧された場合に発生しうるスパイラルEC®のサイト及び管理画面への不正ログイン及びログインの試行はありません。 | ||
2016 | 4/13 15:28:20 | 新たにB社のECサイトへの脆弱性診断ツールを用いた攻撃が始まりました。 |
4/14 19:21:38 | 原因となったPUTメソッドによるアクセス可能な脆弱性を突き、遠隔でシェルコマンドを実行可能なエージェントPHPプログラムが設置されました。 | |
4/14 19:27:30 | 暗号化された複数のファイルを組み合わせて生成されたバックドアPHPプログラム(WebShell)が設置され、Webブラウザからコンテンツサーバのファイル閲覧及びシェル操作が可能になりました。 | |
4/15 22:03:27 | B社ECサイトに対する第1弾の攻撃が終了しました。合計約59万回のSQLインジェクションやクロスサイトスクリプティング等の脆弱性を突く目的の不正アクセスがありました。 この間、最大約550回のシェルコマンドが実行された可能性があります。 設定ファイル等26個のファイルの閲覧やダウンロードが行われましたが、いずれも個人情報は含まれておりません。 個人情報を含むデータベースの内容は閲覧された可能性はありますが、IDとパスワードのメッセージダイジェスト情報が閲覧された場合に発生しうるスパイラルEC®のサイト及び管理画面への不正ログインやログイン試行はありません。 | |
4/18 9:03:54 ~ 15:29:04 | B社ECサイトに対する攻撃が再開しました。 バックドアPHPプログラムへのアクセスがありました。最大約2,400回のシェルコマンドが実行された可能性があります。 この期間、B社サイト管理画面へのログイン失敗が12回ありました。 他の1社の管理画面へのログイン失敗が1回ありました。 これらのことから、データベース閲覧が行われ、管理画面ログイン用運営者IDとパスワードのメッセージダイジェストが閲覧されたと推測します。 B社ECサイトの商品購入ページにアクセスし、存在しない住所への代引きにより商品が9:30に注文されました。 EC商品購入画面から商品をカートに入れ、チェックアウトし、クレジットカード番号入力画面を表示しています。 これらのことから、データベース閲覧が行われ、注文情報が閲覧された可能性があります。 また、クレジットカード決済代行サービスとの接続設定及びクレジットカード決済処理プログラムファイルが閲覧されました。 | |
4/18 15:31:32 ~ 16:06:50 | B社の管理画面に、一般権限の運営者IDでなりすましてログインに成功しました。データベースから閲覧した運営者IDとIDから推測したパスワードのメッセージダイジェストとデータベース内のものとを照合し、パスワードを推測したと思われます。 管理画面上で注文データの検索と個別注文の詳細、支払い方法、入金データアップロード、割引情報の閲覧が行われました。 注文データのダウンロードに2回(3,368件、15,581件)成功しています。後者のダウンロード内容に前者の内容が含まれています。注文データには影響範囲の項で記した個人情報が含まれています。 | |
4/18 16:08:24 ~ 16:16:39 | ログアウト後に同じ運営者IDで再ログインが行われました。 注文データのダウンロードに成功(3,368件)していますが、既にダウンロードしたデータと同じ内容です。 | |
4/18 16:17:41 ~ 17:34:14 | ログアウト後に管理権限を持つ運営者IDで管理画面にログインが行われました。 注文情報、出荷情報、クレジットカード決済代行サービスとの連携設定、Google Analyticsとの連携設定が閲覧されました。 注文データのダウンロードに2回(3,368、220件)成功していますが、既にダウンロードしたデータに含まれる内容です。 注文詳細画面にアクセスし、クレジットカードで購入された任意の1件の注文ステータスが「与信」から「与信確定」に変更されました。 ※1)(与信確定処理でクレジットカード情報を閲覧しようとしたと推測します。)その後の確認により、与信確定された商品は正常に購入者に配送され、注文者に影響がないことを確認しています。 | |
4/18 17:34:14 | B社への攻撃が終了しました。 | |
4/18 17:35:50 | バックドアPHPプログラムへのアクセスが再開されました。次の攻撃対象の管理画面にログインするための運営者IDとパスワードのメッセージダイジェストを検索したと推測します。 4回のシェルコマンドが実行された可能性があります。 | |
4/18 17:36:39 ~ 17:47:06 | 新たに弊社外部公開テスト環境(※2)の管理画面へのログインに1度で成功し、テストデータ(注文情報、出荷情報、クレジットカード決済代行サービスとの連携設定)が閲覧されました。 | |
4/18 17:47:18 ~17:52:20 | 新たにC社の管理画面への運営者ログインIDでのログインに1度失敗しましたが、2度目でログインに成功しました。 注文情報が閲覧されました。 クレジットカード決済代行サービスとの連携設定が閲覧され、更新ボタンが押されましたが設定内容に変更はありませんでした。 決済代行会社の調査により現在までC社以外からの不正な接続がないことを確認しています。 この間、6回のシェルコマンドが実行された可能性があります。 | |
4/18 17:52:34 ~18:17:19 | 新たに他の4社の管理画面へのログインを計5回試みるが、いずれも失敗しました。最大71回のシェルコマンドが実行された可能性があります。 | |
4/18 18:20:34 | バックドアPHPプログラムへのアクセスが終了しました。 | |
4/22 0:05:50 ~ 0:07:15 | バックドアPHPプログラムのメニューを順番に1度ずつクリックしました。 これ以降、不正アクセスは確認されていません。 |
日時 | 対応 | |
---|---|---|
2016 | 4/18 | 今回不正アクセスを受けた疑いのあるユーザ様(B社)のサイトに対して4/13~15にSQLインジェクションと思われる登録が200件以上あるとの問い合わせがありましたが、SQLインジェクションが失敗し、無害であると判断して、ユーザ様に回答しました。 事後の調査により、このSQLインジェクションはB社に対する一連の攻撃の一部であることが分かりました。 |
6/7 11:34 | B社サイトから異常な注文(発生経緯※1)についての問い合わせがあり、調査を開始しました。 | |
6/7 ~ 6/13 | 管理画面へのアクセスログを調査したところでは、正常なログインと管理画面操作しか記録がなかったため、通常の運営担当者による操作と思われることを回答しました。 しかしながら、B社では該当の処理をしていないことと、不審な接続元IPアドレスであったために、再度調査を開始しました。 | |
6/14 9:13 | 調査を担当していた開発部門からCISOにエスカレーションが行われ、不正アクセスの疑いがある事故としての調査を開始しました。 | |
6/14 10:00 | 不正アクセスを受けた疑いのあるユーザ様(B社)に対して、念のため管理画面への運営者ログインIDのパスワード変更を依頼しました。 | |
6/14 10:00 ~ 21:00 | B社のアクセスログの調査を行いました。また当該不審なIPアドレスからのアクセスを遮断しました。 | |
6/14 20:48 | ウェブサイトの攻撃兆候検出ツール(iLogScanner)を使用して攻撃の可能性についての確認を行いましたが、管理画面に対する攻撃のログは確認されませんでした。 | |
6/15 12:00 | 外部に公開している弊社テスト環境(発生経緯※2)への不正アクセスも発見されたことから、調査対象に含めました。 | |
6/15 19:00 | WebDAVサーバ上で不審なPHPファイルを発見し、関連するアクセスログの調査を開始しました。 すぐに、WebDAVサーバ内にある、不審なPHPファイルをすべて削除しました。 | |
6/15 20:47 | 不審なPHPプログラムの中にバックドアと思われるプログラムが存在することを発見しました。 | |
6/15 21:30 | WebDAVサーバ上にPHP等の存在すべきでない拡張子を持つファイルが新たに設置されると検知する仕組みを導入しました。 | |
6/15 23:34 | 該当のプログラムがバックドアであることを特定しました。 当ファイルにアクセスしたIPアドレスとB社管理画面にログインしたIPアドレスが一致したため、外部からの攻撃の可能性が高いとして調査を進めることにしました。 | |
6/16 9:15 | 今回の事故に関係するパイプドHDグループ各社から構成された緊急対策チームを組成し、ミーティングを開催しました。 緊急対策チームで、現時点までの調査状況の共有、対応方針の決定、タスクの洗い出しを行いました。 この時までは、WebDAVサーバに対して外部から任意のファイルがPUTされる設定にはなっていないと誤認していましたが、 ・すべての不審なPHPを削除したこと ・不審なPHPがWebDAVサーバ上にPUTメソッドを含む何らかの手法により設置されたとしても、1分以内に検知する仕組みを設置したこと ・管理画面にログインする担当者IDのパスワードの変更を行ったこと の対策を実施したことから、今回の事故の影響がさらに広がることを防ぐことができると判断しました。 | |
6/16 11:41 | WebDAVのPUTメソッドによりファイルが設置されたログを発見したこと、及び弊社端末からPUTメソッドによるファイル設置を試みたところ成功したことから、原因となった脆弱性として特定しました。 | |
6/16 12:00 | 今回の原因となったリバースプロキシのPUT / DELETEメソッドを無効化しました。 | |
6/16 15:13 | ログインログについて追加情報を取得するためのパッチをリリースしました。 | |
6/16 ~ 6/19 | WebDAVに対するPUTメソッドが有効であり、原因として特定したことから、被害状況の全容を把握するための調査を開始しました。 ・WebDAVサーバ上のPHPプログラムに対するアクセスログ ・管理画面のダウンロード機能にアクセスしたログ ・PUTメソッドが利用されたアクセスログ の中から不審なIPアドレスを抽出しました。 そのIPアドレスをアクセス元とする全サイトのアクセスログを抽出して、行動を分析しました。そのほか、 ・データベースーログ ・アプリケーションログ ・ファイアーウォールのログ ・システム関連のログ 等を加えて、被害状況、攻撃の経緯、及び原因の分析を行いました。 不正と判断したIPからのスパイラルEC®システムへの通信を発見次第順次遮断するようにしました。 | |
6/17 17:54 以降順次 | 不正と判断したIPからのスパイラルEC®システムへの通信を発見次第順次遮断するようにしました。 | |
6/19 18:57 | リバースプロキシにおけるアクセスを許可するファイル拡張子制限を設定しました。 | |
6/20 09:15 | 緊急対策チームミーティングを行い、分析結果の共有、影響の特定、お客様対応方針の決定を行いました。 | |
6/20 ~ 6/21 | WebDAVサーバ及びアプリケーションサーバに対するウィルスフルスキャンを完了し、問題がないことを確認しました。 |
関連のアクセスログ調査による推測となりますが、一連の攻撃は以下のようなものであったと考えています。
弊社は今回事故が発生したスパイラルEC®以外にも、「スパイラル®」、「スパイラル PLACE®」、「ネットde会計®」のサービスを提供しています。
これらのサービスではスパイラルEC®と異なり、原因となったリバースプロキシによるバックエンドサーバへの中継は行っていないため、同様の手口での不正アクセスは成立しません。
また、これらのサービスに対して外部からのPUTメソッドによるアクセスが成功しないこと、不審なファイルが置かれていないことを調査し、問題がないことを確認しました。万が一、不正なプログラムが設置された場合でも、当該プログラムを自動で検知する仕組みを設置し、監視できる体制を整えております。
今後の再発予防のため、2016年7月1日付で社長直轄の「不正アクセス対策室」を設置し、弊社提供各サービスに対する定常的な脆弱性の診断と、脆弱性攻撃手法及びその監視、防御に対する調査・研究を専門的に取り組みます。
また、役職員に対するセキュリティ教育を引き続き推進し、人的・組織的体制のさらなる整備に取り組みます。
親会社であるパイプドHD株式会社にて、所轄警察、関係官庁をはじめ、一般財団法人日本情報経済社会推進協会(JIPDEC)やBSIグループジャパン株式会社(BSIジャパン)などの関係各所へ本件について報告しております。