え?Webサーバに個人情報を保存?日テレが個人情報流出!
2016/06/16
日本テレビは、ホームページへの不正アクセスで約43万件の個人情報が流出したと発表した!
この個人情報流出、よくよく考えてみるとセキュリティ観点からみてかなり不可解であることがわかったので紹介する!
日テレ公式発表
この度、弊社ホームページ(http://www.ntv.co.jp/)におきまして不正アクセスがあり、保有する個人情報のうち、約43万件が流出した恐れがあることがこれまでの調査で判明しました。ご報告申し上げますとともに、情報が流出した恐れのある皆様には、大変なご迷惑とご心配をおかけしますことを、まずは深くお詫び申し上げます。via www.ntv.co.jp
どんな攻撃を受けたの?
日本テレビによると公式ホームページに『OSコマンドインジェクション』があったと説明している。
簡単に説明すると、入力フォームにLinuxコマンドを混ぜてるとそのコマンドが相手のサーバ上で実行できちゃいます。セキュリティ用語では『任意のコマンドが実行できる』と説明されますが、いまいちピンと来ない方へサンプルをご紹介。
※そのまま他者様サイトで実行できないよう、あえて文法を壊して掲載しています。
例1:メールアドレス欄に以下の文字を入力して、日テレ->info@Bmail.comへ好きな内容のメールを送れる
ore@Amail.com:mail info@Bmail.com
例2:メールアドレス欄に以下の文字を入力して、日テレ->Csite.jpへアクセスを行う
ore@Amail.com:ping -c "Csite.jp"
なんとなくイメージできましたか?『任意のコマンドを実行できる』とは、なんでもアリなんです。
『OSコマンドインジェクション』が実行できてしまう日テレのサーバはとても恐ろしい状態にあったと言えます。
ホームページのサーバに個人情報を保存!?
個人的に疑問なのは、ホームページが置かれているWebサーバに個人情報が保存されていたこと。
個人情報を扱うホームページサイトを作る場合は、Webサーバ、アプリケーションサーバ、データベースサーバ(下の画像ではバックエンドサーバ)の三層構造を使うのが一般的のはず。
via Copyright (C) 1998 - 2010 NEC Corporation. All rights reserved.
特に個人情報が保管されるデータベースには誰でもアクセスできないように、パスワードによる認証機能を使ってブロックします。
また、データベースの中身を閲覧したり変更したりする時には、別のパスワード認証を使ってさらにブロック。システムによってはパスワードを定期的に変更したりして、個人情報を守ってます。
また、Webサーバ、アプリケーションサーバでは『OSコマンドインジェクション』を受け付けない対策も必須です。
日テレはこのような対策をサボって、Webサーバに顧客情報を保存し、顧客情報を守るような機能を使っていなかったことになります。つまり、日テレは手間をかけて守るような情報ではないと思っていた可能性があると思います。
今度の調査
気になる原因や対策ですが、日テレでは次の調査結果発表がいつになるのか公表していませんでした。
先程の日テレのリンク先に問合せフォームが掲載されてましたので、気になる方は問合せてみて下さい。
また新しい情報が公表されたら当ブログでも追っていきたいと考えております。