ほっておくからこういうことになる　GDPRより怖い脆弱な日本企業のサーバー　情報漏えい相次ぐ

GDPR騒動が、日本のニュースから消えたようですが、安心するのはまだ早い！

GoogleとFacebookが、ターゲットになっていますが、Googleは、強かなので
そう簡単にGDPRの思うように進まないと思われます。
どこから違約金を摂取してやろうか？手ぐすね引いているような気がします。

と思っていたら、GDPRどころか自爆してしまった企業がでてきました。

今回の「日本のIT屋に一言」は
「ほっておくからこういうことになる　GDPRより怖い脆弱な日本企業のサーバー　情報漏えい相次ぐ 」
と題して
「狙われる日本企業」
について考えてみました。

今回も小難しい話をよりわかりやすく解説ししながらブログにしました。
最後まで読んでいただけたら幸いです。

スポンサーリンク

メニコン

コンタクトレンズで有名な
株式会社メニコン（英: Menicon Co., Ltd.）は、は5月17日、Webサーバーからクレジットカードなどの個人情報が漏洩したことを明らかにしました。

サイト
「A-Web倶楽部」
コンタクトレンズを定期購入する会員サイトです。
規模
3412件の個人情報が漏洩
5月2日までにクレジットカードを不正利用された会員は27人
被害額は合計で約668万円
原因
OpenSSLの脆弱性
2014年に見つかった「Change Cipher Specメッセージの脆弱性（CVE-2014-0224）」や、2016年に見つかった「パディングオラクル攻撃の脆弱性（CVE-2016-2107）」などの脆弱性が存在することがわかった。また、POODLE対策が施されていないこと（SSL 3.0が無効にされていないこと）

http://www.menicon.co.jp/company/news/vol679.html

森永乳業

森永乳業株式会社
2018年6月4日、通販サイトで2017年10月まで使用していたWebサーバーから約3万人分のクレジットカード情報が流出した痕跡が見つかったと発表
4月24日にクレジットカード会社からの指摘で事態を把握し、5月9日に約2万3000人分の情報漏洩の可能性があると公表していた。

サイト
2017年10月16日まで使っていた旧サーバー
旧サーバーは停止しているが、個人情報漏洩を調査したところ、旧サーバーの運営時代に漏洩していた。
つまり、気が付かなかった。

規模
2015年1月7日から2017年10月16日までの間に、通販サイトでクレジットカード情報を入力した2万9773人情報流出

原因
発表されていないため不明
おいおい！　原因は、わからないままか？
今は、つかっていないサーバだから大丈夫ということでしょうか？

http://www.morinagamilk.co.jp/information2/newsentry-2900.html

つつぬけ

中国ネット情報大手「百度」のオンライン文書共有サービス「百度文庫」に、2017年6月～2018年2月の約半年間、日本企業186社の「機密」あるいは「秘密」扱いとする内部文書が、他者から閲覧できる状態にあったという。

おやおや　機密文書まで一般人に読まれているとは、なんともズサンですね。

原因

最近多いのが、OpenSSLの脆弱性
簡単にってしまえば、脆弱性のある暗号化技術をほったらかしにしておいたため、そこを突破されてデータベースから情報を抜かれた
というのが多い。

要は、メンテナンスしていなかった。

メニコンの場合、2014年に発覚した
・「POODLE」TLS/SSLの古いバージョンが持つ脆弱性
・「Shellshock」というbashの脆弱性
詳しいことは、省略しますが、どちらも相当やばい問題です。

「POODLE」TLS/SSLの古い脆弱性を放置したまま運用を続けるWebサーバーは、結構多いんじゃないのかな？

うちのサーバーはどうなってるんじゃ！

調べる方法は、簡単です。
SSLを試験するサイトがあるのでここにドメインを入力
履歴を公開されたくなかったら
「Do not show the results on the boards」にチェックをしてみてください。
英語サイトで専門用語が並んでいますが、Aランクだったら大丈夫でしょう。

https://www.ssllabs.com/ssltest/

セキュリティ漏洩の多くは、うっかりミス

サイト攻撃より簡単な方法があります。
メールにセキュリテイ突破のためのプログラムを添付して送る方法です。

添付ファイルを開くとあなたのパソコンに仕掛けをして、あなたが入力した情報やファイルなどを盗み出します。
宛先がわからないところから来たメールは、絶対に開かないでください。

最近は、かなり巧妙な仕掛けがしてあって、
いかにも「ビジネスメール」とか「Appleからのお知らせ」とか「銀行からの連絡」等
送り元を偽装したものも多く、真偽を確かめるのに手間がかかります。

まとめ

サーバーは企業の生命線です。
突破されたら何を持っていかれるかわかりません。

特に　OpenSSLの脆弱性　をほったらかしにしてあるサーバは、思った以上に多く存在していると思われます。

バージョンアップしていなかったサーバから侵入されています。

ハッキングは、突破が難しかったら、他のサイトに向かうはずです。
「ここは面倒くさいよ」
と知らせることが大事なのです。

スポンサーリンク