ECサイトがインターネット上にあふれている昨今、脆弱性や設定ミスからクレジットカード情報の漏洩やなりすましによる被害が絶えません。日本でも毎日のように漏洩事件が起きています。実際に起きた事件について、原因を調査して少し考察したいと思っています。
注意:この記事は、はてなブログで活動されている方の記事の影響を強く受けています。取り上げる題材は被りのないように注意していますが、万が一被ったり、内容が似通っている場合、コメントにてご指摘ください。(https://foxsecurity.hatenablog.com/)
2020/11/25(水)に報道があった カラオケアプリ、エブリシングの開発元の「Dear U」が不正アクセスを受けた事件を扱います。(https://www.security-next.com/120940)
11月5日から11月10日までの間アプリを利用した登録会員情報の氏名、生年月日、メールアドレスなど707件が流出した可能性がある。
対象のアプリは以下のようなもの(https://play.google.com/store/apps/details?id=com.sm1.EverySing&hl=ja&gl=US)
機能としては、以下のような機能がある。
自分が歌った歌を録音/収録して友達とシェアして、アーティストと一緒に素敵なDuet、オーディションに挑戦してStarになるきっかけを掴んでみてください!
また、定期購読オプションもあったことから、クレジットカード情報も入力できるのではないかと推測できます、
ここで、エブリシングジャパンからの公表(https://www.everysing.co.jp/archives/731#.X8Si2Wj7SUk)を確認すると、以下のようにありました。
今回第三者の不正アクセスにより流出した個人情報は、2020年11月5日(木)から2020年11月10日(火)の間にエブリシングにアクセスした会員様がエブリシングで登録した「Eメールアドレス、氏名、生年月日」の計3項目(合計707件)であり、暗号化されたパスワードは流出していません。
また、エブリシングは、会員様の住民登録番号、携帯電話番号を収集しておらず、クレジットカード情報、金融機関の口座情報も保存していないため、これらの情報は流出しておりません。
このことから、クレジットカード情報や口座番号は、保持していないことがわかります。
ここで気になるのは、アプリ「エブリシング」の開発委託先の「Dear U」が不正アクセスを受けている点です。アプリ自体に脆弱性があったわけではないことがわかります。
公表の続きを読むと以下のような記述があります。
2.対応状況
委託先は、上記の事実を確認後、直ちに脆弱性の点検と補完措置を完了し、さらに、弊社は、個人情報保護委員会に対して本件を報告しております。
詳細なことは記載されていない為、推測となりますが、フィッシングメールや既知の脆弱性を突かれ、内部に侵入を許してしまったのではないかと思います。
侵入後は、運用DBから情報を抜き取られてしまったのではないでしょうか。
今回、世の中に完全に安全なアプリやサイトがないことがわかる事件だったと思います。ユーザ側が対応できることは、常に自分の使っているアプリを確認して、最新の状態に保ったり、運営からの依頼といった通知に注意を払って被害を減らすよう動く必要があると思いました。