不正アクセス | Webマーケティングざっくりガイド https://blog-homepage.net スモールビジネスのためのウェブ現場のあるある情報 管理人【桑野一哉】 Thu, 12 Dec 2019 09:23:53 +0000 ja hourly 1 https://wordpress.org/?v=6.9.4 日本地図センターのハッキング問題 https://blog-homepage.net/web-column/%e6%97%a5%e6%9c%ac%e5%9c%b0%e5%9b%b3%e3%82%bb%e3%83%b3%e3%82%bf%e3%83%bc%e3%81%ae%e3%83%8f%e3%83%83%e3%82%ad%e3%83%b3%e3%82%b0%e5%95%8f%e9%a1%8c/ Thu, 12 Dec 2019 09:23:53 +0000 https://blog-homepage.net/?p=5249 ちょっと今どきはSNSはできても、ネットがわからないと深刻になるという例ですね。

【被害者なのになぜ非難?日本地図センター】

どうやらYahoo!など検索が悪いと思っているようで、とんちんかんなSNSでのツイートがあったり・・・

 

サイト改ざん

ダメだしばかりもダメなので、最低限コメントの対応のサンプルを提案したいと思います。

 

改ざんが疑われたとしたら、前提としてそのサイトが人目に触れないようにする必要があります。

ウイルスやフィッシングなどが含まれたサイトなら、アクセスしただけで見た人が被害にあってしまうからですね。

 

 

 

 

アレだけ電話でサーバ落とせって言ったのに聞かないからまた改竄されていますよ

たぶんサーバーなんてわからないんでしょうね。
サーバーとドメインを切れば、このサイトは表示されないですからね。

 

 

httpsじゃないってマジ?

今どき、SSL化されてない時点で怪しいですからね・・・
サーバーからSSL化するだけです。

 

 

名簿とか満載の端末でアクセスして情報抜かれたから訴えるって言われたら確実に負けるよねこれ

たとえば私がアクセスして、フィッシングサイトだったとする。
そこで私の端末にまでハッキングされたとしたら、改ざんサイトを放置している日本地図センターは訴えられて負けるようね、ってことですね。

火事を出して、放置した。人をひいて、逃げた。
このように責任を放棄している、ってことです。

 

 

サーバ上のファイルを改竄されたと言うことはサーバの情報は見放題、ということなのでアクセスログ、入力した情報、日本地図センターが保有している顧客情報は漏洩している可能性があります。

改ざんできる=サーバー内のファイルをコントロールできる。
ということは、サーバー内に顧客情報があったらそりゃ抜かれてもおかしくない。ってことですね。

ただ運が良ければギャンブルサイト?への転送だけですむことも考えられます。 しかしリスクが青天井なのに放置しているのが致命的な問題なわけですね。

 

検索結果以前に、このアカウントのURL設定を一度解除するといった対策をなぜやられないのですか? 検索結果と同じURLが記載されてることは問題だと思いませんか?

サーバーのことがわからなくても、ツイッターのリンクをまず消せ!ってことですね。

日本地図センター

でもこのことから分かるのは、何が起きているのか把握できていない。
対処法もわからない、応急処置を聞いても作業できないということです。

 

 

現在はようやく、サイトが非表示にされています。
ではもし同じようなことになったら、どうすればよいのでしょうか?

最優先するべきは、サイトを広めない(不正ページにアクセスさせない)ことです。

・SNSのプロフィールなどから、対象サイトへのリンクをはずす

・メルマガなどを発行していたら、状況をつたえる

などなど、被害がひろがらないような対策が必要です。

 

 

FTP

ワードプレスなどのCMSだったとしても、たぶんファイルが書き換えられています。
なのでFTPで直接サーバーに接続して、対象ファイルを削除します。

対象ファイルがわからないなら、すべて削除。
全部を削除できたら、「メンテナンス中」、SNSや電話の連絡先を明記したindex.htmlファイルをサーバーに設置。

 

 

ドメイン&サーバー

プログラムによっては、FTPから削除できないタイプもあります。
その場合は、ドメイン&サーバーのDNS設定を解除します。

ドメイン側からでもいいですし、サーバー側からでもOKです。
どちらかの設定が解除されれば、ページは表示されません。

 

最低限、ここまでは社内でできないとまずいです。
もしくは外注しているところにすぐ対応してもらえる環境は必要です。

 

 

作戦会議

とりあえずここまでできれば、不正なページが表示されません。
なので被害が広がらず、裁判になっても適切な対応を行えたと判断されるでしょう。

ここからは、バックアップで済むのか、サーバー環境から作るのかなど、ちょっとプロに依頼して再構築ことになるでしょう。

 

これだけIT化が進むと、トラブルも増えるのはしかたありません。
でもトラブル時に適切な対応をとれるかどうか?

会社の信用にも直接つながることなので、十分気をつけましょう。

 

]]> 二段階認証やSMS認証なんて知らなくても社長にはなれる! https://blog-homepage.net/web-column/%e4%ba%8c%e6%ae%b5%e9%9a%8e%e8%aa%8d%e8%a8%bc%e3%82%84sms%e8%aa%8d%e8%a8%bc%e3%81%aa%e3%82%93%e3%81%a6%e7%9f%a5%e3%82%89%e3%81%aa%e3%81%8f%e3%81%a6%e3%82%82%e7%a4%be%e9%95%b7%e3%81%ab%e3%81%af/ Thu, 04 Jul 2019 10:36:00 +0000 https://blog-homepage.net/?p=4939 被害者数900人、被害総額5500万円と発表。

システムは知らなくても社長だってネットを使ってればわかるんじゃない?
「人にフォーカス」しても、システムがわからないとこうなる時代なのかも。

 

セブン&アイ 緊急会見

セブンペイ不正利用で緊急記者会見。
クレジットカードとデビットカードからの入金手続き停止を発表。7月4日には全ての入金手続きを止めたそうです。

まぁこれだけメジャーなアプリならば、そうとうなハッカー連中に狙われても仕方ないよね。
なんて思ってたんですが、記者会見後には状況が一変!

 

セブンペイ

なんと今回の不正アクセスにあったセブンペイ。
なんと、メールアドレスと電話番号などが分かればパスワードのリセットが可能だった。

 

詳細を見れば冗談みたいな仕様で

「生年月日」「電話番号」「会員ID(メールアドレス)」の情報があれば第三者がパスワードを変更できる状態で、SMS認証など二段階認証も設定されていなかった。また、パスワードリセットのメールは、登録時とは別のアドレスに送信できる仕様だった。

 

これって、今どきのSNSだったらもうほぼほぼわかんじゃね?
ってくらいい、公開されていることが多い情報ですよね。

フェイスブック見たらほとんどの人が、生年月日が公開されています。
非公開で利用していればいいけど、かなりゆるい情報でしょう。

 

 

SMS認証など二段階認証

で、記者会見の時に「SMS認証など二段階認証」について聞かれても「???」だったので大炎上!
あ、ウソで大炎上はしてません。炎上するほど一般的でないので。

でもシステムやWEBに関わる人なら、「ありえないw」という話なんですね。

 

【セブンペイ不正利用でセブン&アイが緊急会見】

テレ東が配信した緊急記者会見30分34秒から。

「ユーザー登録時に二段階認証をされているサービスがほとんどだと思うんですけど、7payでそれをやらなかった理由は?」という質問に対し、セブンペイの小林強社長は「二段階認証……?」

 

まぁ社長は現場の人ではないでしょうし、軽はずみなことは言えない。
とはいっても、今分かってる情報だけでもマズいんじゃね?
というシステムというか運用の条件というか。

 

●誰かの電話番号やメアドはわかった。
だったらセブンペイにログインしてみて、入れたら入出金のパスワードを変更。メアドも変更。

これで、まったくの第三者が誰かのセブンペイを自由に使えるわけです。

 

二段階認証は、ログインのチェックを2回やれと。
同じのでも二段階認証と言えるけど、それじゃ意味ないですよね。

なので良くあるのが、SMS認証。
SMSへ一時的なパスワードなどを送って確認する方法。

ログイン時にパスワード以外に、「ペットの名前は?」なんてのもあるけど、お金に関わるなら所有物が必要なSMS認証でしょうね。

 

たとえばSMSの二段階認証がされていればこんな感じになります。

●誰かの電話番号やメアドはわかった。
よし、入出金のパスワードを変更しよう。

【SMS端末へ一時的なパスワードを送信】
それを入力してね♪ となるわけです。

 

本人だったら自分のスマホにそのSMS認証パスワードが届きます。
なので入力するだけ。

でも今回の手口なら、この段階でSMS認証パスワードを入手できません。
だから今回のような問題は起きないわけですね。

 

ちなみにパスワードリセットのメールも、指定のメアドに送れる仕様だそうです。
不正アクセスしたら、不正アクセス用のメアドに変更して送ればいい。

セキュリティがザル過ぎるだろ、セブンペイwww
ということですね。

 

これ最初、送金システムだったら送った口座とかで犯人なんてすぐに特定できるじゃん。と思ってたら、違うんですね。

もっとオーソドックスに、店頭受け取りするだけ。

だから逮捕された中国人は、タバコを大量に購入していたと。換金性が高いからですね。

 

この時にセブンペイの残高がなくなっても、クレジットカード連携やチャージをする必要がある。
この時に、パスワードリセットがかんたんなので楽勝だったと。

 

 

 

経営陣

まぁこんなデカイシステムの話なんて、私ら関係ありません。

でもこわいのは、現場のエンジニアからしたらこんな状態でリリースすることはあり得ないでしょう。
だって作った時点でザルだって素人でもわかるでしょ。

 

つまり、現場の意見は無視されてたんでしょうね。
勝手な推測で申し訳ないけど、初でもないのにあり得ないのぉ。

だって記者会見で質問してた女性記者、的確すぎる質問で彼女が優秀なのはわかる。
でもセブンアンドアイにだって優秀な人はいるだろうという話し。

 

もっとも、普及のための利便性とリリース時期など経営視点で判断したはず。
でももうITを知らないと経営判断も的確に行うのは難しい。
知らない、分からないではこうなってしまうのですね。

 

まぁ日本の場合、元サイバーセキュリティ大臣はパソコンもネットも知らなかったわけですけど。

でもビジネスの世界ではもう、ITオンチはリスクでしかないってことでしょうね。

自分が分からなくても、現場チームの話はしっかりと聞いておいた方がよさそうですね。

意思決定権がある偉い人たちに無視されたチームの人たちは、さぞ無念だろう・・・

 

いや、「ほ~ら、いわんこっちゃない」なんて思ってたりしてね。

 

 

 

]]>