水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > WASForum Conference 2008: サウンドハウス「Web攻撃の脅威に立ち向かうには」

WASForum Conference 2008: サウンドハウス「Web攻撃の脅威に立ち向かうには」

2008年7月4日(金曜日)

WASForum Conference 2008: サウンドハウス「Web攻撃の脅威に立ち向かうには」

1日目、カカクコムのお話の次に来たのがサウンドハウス (www.soundhouse.co.jp)のお話。

今年の4月にクレジットカード情報の流出が発覚し、大胆なプレスリリースが話題になったサウンドハウスですが、中島社長自らがお話しされるということで、かなり期待していました。実際にお話を聞いてみると、これがもうメチャクチャ面白かったです。ただ、あの話し方、身振り、スライド、どれ一つが欠けてもこの面白さは出ないと思いますので、生で見ていない人に面白さを伝えるのは難しいと思います。

※ちなみにスライドの一部は使い回しのようです。「「被害を隠すな」サウンドハウス社長が不正アクセス体験語る (internet.watch.impress.co.jp)」に掲載されているものはおおむね使い回されていました。

ともあれ、話された内容をメモしておきます。ほぼ手元のメモのままなので、長いですが……。

導入部

最初の一言が「サイバー戦争」。「戦争」というキーワードは何度も何度も出てきます。

  • サウンドハウスができてから15年、突然、攻撃を受けた
  • 奇襲攻撃。あっと気がついたらやられている。実体が見えてこない
  • SQLインジェクションのミサイルが飛んできている。特に中国から多数のミサイルが来ている。しかも、ミサイルは目に見えない

この「ミサイル」のくだりのスライドがまた秀逸で、会場は爆笑していました。

事件までの経緯

サウンドハウスの紹介と、事件までの経緯。

  • やることはやってきたつもり。最善の対策を取れと言ってきた。
  • サウンドハウスは業界では大手。30万の顧客データベースをもち、毎年1~2割の増益を継続している会社
  • 2005年1月、ハッカーセーフ導入

そして話は「ハッカーセーフ」の内容に。

ハッカーセーフについて
  • システム脆弱性を検知する
  • 詳細レポートが送られてくる。それぞれの脆弱性は5段階評価で通知され、レベル3より高い脆弱性が検知された場合、72時間以内に対応しないとシールが剥奪される。ただし、そういう高レベルな報告が来ることはほとんど無い

なぜハッカーセーフが効かなかったのかという理由について。

  • Webアプリケーションは自社開発だが、消し忘れた不要ページがあったのかもしれない (.aspが2500ほどあり、管理しきれていなかった)
  • ハッカーセーフが脆弱性のあるページを見逃した可能性も考えられる。たとえば、リンク切れのページは検証できない

さらに、ハッカーセーフについての反省点の話。

  • ハッカーセーフの指示で対策を講じていれば良いと思っていた (が、十分ではないと分かった)。
  • 例の中国のブログ (参考:「「サウンドハウス」名指しの攻撃マニュアルが中国で公開されていた (internet.watch.impress.co.jp)」) が書かれた日のハッカーセーフレポートを見ると、レベル1の危険度のみが報告されていた
  • 対策も表示されるのだが、「対策は特に必要ありません」と言われたので安心してしまった

このときハッカーセーフのレポート画面が映されましたが、そのレポートは「IISがBasic認証またはNTLM認証を許容」というものでした。これはもちろん脆弱性ではなく、「念のためお知らせ」レベルのものでしょう。要するに、何も検知されていなかったということだと思います。

情報漏洩について

情報漏洩の規模とその公表についての話。このへんからちょっと微妙な空気が流れてきます。

  • 1回のアクセスで20件引き出し、それが4875回のアクセスで、掛け算して97500件の漏洩と発表
  • 2007年~2008年の、新規登録者の顧客データのみが対象
  • カードデータの登録は27743件
  • うち、2008年の登録は4811件
  • さらに、被害のほとんどはカードとサウンドハウスのパスワードが同一の場合

……何が言いたいのかイマイチ分からないまま聞いていると……。

  • 実際の被害規模は、4811×8割(カードのパスワードがサウンドハウスのパスワードと同一の人の割合)×5割(攻撃成功の割合) で 1000~2000件くらいだと思う
  • しかし、LACの人に「漏洩の可能性があるMAXの件数で発表するべし」という旨のことを言われたので、97,500件の漏洩と発表した

LACならずとも「漏らした側の人が言ってはダメだろう」と思いますが、後の話と総合すると、「真の被害規模が見えない」ということを仰りたかったのだと思います。話は続きます。

悩み

サウンドハウスの悩み、困ったことなど。

悩み1. 被害の実態が見えない
  • カード会社からの情報提供がないため、被害が何件なのか、いくらの被害が出たのか、誰が被害にあったのか分からない
  • お客様からの直接の連絡は数十件あった
悩み2. 流出の原因が確定できない
  • バックドアがあったのではないかと言われるが、あくまで想像でしかない
  • サウンドハウス本体では古いログは残っていなかった (2007年以降のもののみ存在)
  • 家具を扱う子会社がたまたま2006年のログを持っていた。それをLACが一緒くたにして検証した結果、その2006年のログからバックドア混入の形跡を発見。そこで、本体サイトも同様だったのではないかと推測された
悩み3. 迅速な情報公開が不可能
  • 自社の判断で動けなかった。問い合わせの受け皿となるカード会社の準備が整っていないので、報告は出すなと言われた
  • ニコスはJCBより4日準備が早かった。:-)
  • 実際には、カード会社は個々のお客様にはカード停止/番号の変更を告知している
  • お客様からは「なんで情報公開しないのか」というクレームも寄せられ、つらかった

このあたりは、プレスリリースでも赤裸々に語られていましたね。

悩み4. 顧客対応が困難
  • お客様からの質問はだんだんエスカレートし、「カード会社とのやりとりの内容を教えろ」などいろいろ言われた
  • メールでの問い合わせは4000件
  • 電話は数千件
  • 社長も数百件のメールを書いた
悩み5. カード会社との関係
  • 問題発生時点で、サウンドハウスでのカード利用はストップ
  • 再開できないとお客様が困るので、再開したいとカード会社に働きかけているが……
  • JCBからは、「9月30日をもって契約を解除する」という内容証明が送られてきた。プレスリリースの内容が気に入らなかったからか (会場爆笑)
  • ニコスからは、2日前 (7月2日?) に、「あと1~2週間で連絡する」という旨の連絡があったので、楽しみにしている
悩み6. 企業業績の悪化
  • サウンドハウスの38%の売上げがカードによるもの
  • カードが使えなくなって売上げが落ち込み、前年比 -11% となる
  • ただし、今月は前年比 +1% で推移しており順調
  • カードが使えなくなっても良いかもしれないとも思っている。サウンドハウスのファンのお客様は利用し続けてくれるだろう
悩み7. 周囲からのサポートが無い
  • 救助どころかたたかれる
  • 唯一あったのは、IPA から。「相談乗るよ」という主旨のことを言われた
  • 経産省は1回呼ばれただけで音沙汰なし
  • 唯一頼れるのはLAC。言えば飛んできてくれる。LACこそが日本のセキュリティ対策の鍵

講演全体を通して、「LAC最高」「LACは神」という主旨の発言が連発されていました。

悩み8. プレスリリース
  • 本音がうまく伝わらない
  • カード会社が悪いと言ったつもりはないのだが……

悩みの話は以上ですが、情報が少なくて実際のところ何が起きているのか分からない、という話が悩みのメインであるように思います。他に類を見ないプレスリリースが出ましたが、情報がなさ過ぎて本当に困っていたからこそ、自らはとにかく積極的に情報公開するという姿勢になったのかもしれません。それがやり過ぎかどうかは、まあ、議論の分かれるところでしょう。

教訓

今回の事件で得られた教訓。

……この辺、話の進行が早かったので手元のメモが漏れがちになっています。だいぶ抜けがあるかも。

新セキュリティ対策の徹底

新しいセキュリティ対策を徹底したという話。スライドの図は、おそらく「「被害を隠すな」サウンドハウス社長が不正アクセス体験語る (internet.watch.impress.co.jp)」に掲載されている「情報漏洩事件前後のセキュリティ対策」という画像と同じものなので、そちらを見ていただければと。

  • 新しいサーバルームを作った。一部屋丸ごとサーバルームにして入退室を管理
  • 一番大事なのは24時間の監視体制。LACのJSOC (www.lac.co.jp)を利用
  • どんな防弾チョッキを着ても、マシンガンで撃たれっぱなしならば穴が開く。弾が当たったら徹底して検証する必要がある
外部企業とのタイアップ
  • LACに全てを賭けている
  • LACとは一心同体。彼らがこけたら私もこける
カード会社と連携プレーを強化
  • 今はありません (会場爆笑)
  • 実際、連携が何もなかった。情報が入ってこなければ対策が打てない
周辺企業を取り込んだ情報交換
  • 某社が同等の被害を受けた
  • お宅はどうしてるのとか、そういう情報交換が必要
セキュリティ対策の高いハードル

「日本困難で委員会」の話。スライドは「「被害を隠すな」サウンドハウス社長が不正アクセス体験語る (internet.watch.impress.co.jp)」に掲載されている画像と同じものです。

そのまんまなのですが、セキュリティ会社への提言だけメモ。

  • 社会のためにデータを公表してほしい
  • 他者の被害事例については、「いっぱいやられている」という話は聞くものの、公表できないと言われる
  • 被害を受けた会社をなんとか説得して、被害事例を公表してほしい
今後の提言
空襲警報
  • 攻撃が起きれば即、アラートを出す仕組みを構築

これは出ていると思いますが、伝わっていないということかと……。のちに、高木さんが別のセッションでツッコミを入れられています。

自己防衛
  • 消費者に対して自己防衛手段を啓蒙する
  • たとえば、今回の事件ではサウンドハウスのログインパスワードとカードのパスワードが同一の人が被害にあったと考えられる。パスワードを使い回さないように、という啓蒙が必要なのではないか

これも、高木さんがのちにツッコミ。

不正排除
  • 不正プログラム、不正操作、不正人材を見極める必要がある
  • 業界にはスパイがいるのではないか。ハードウェアの入れ替えの話を進めていたら、そのタイミングでやられた。他社でも同じタイミングでやられたことがあると聞いている

……後者の話はどこまで本気なのか分かりませんでしたが、あらためて「「被害を隠すな」サウンドハウス社長が不正アクセス体験語る (internet.watch.impress.co.jp)」を見ると同じことを言われているようなので、わりと本気なのかもしれません。以下、記事の該当部分の引用です。

攻撃者は2006年6月以降、確実に換金できる手段として、事件にならない程度に細々とカードを不正使用していたのかもしれない。弊社では、情報漏洩が発覚する数カ月前からセキュリティ対策を一新する予定を立てていた。あくまで推測だが、この情報が何らかの経路で攻撃者に伝わり、攻撃者が『時間切れ』ということで一斉攻撃を行なった可能性がある。

この情報の経路としてハード屋さんを疑っている、ということのようですね。

実践装備
  • 実装レベルでのセキュリティ対策を安価に普及
対策本部
  • セキュリティ情報収集して即断できるメカニズムの構築
人材確保
  • ハッキングに優れた人材、セキュリティのプロを仲間にする
  • 中国やアメリカではできると思うが、日本では難しいのではないか

日本には「情報セキュリティ早期警戒パートナーシップ」というものがあるために、「ハッカー」は情報開示せずにひっそり届け出ることを求められており、世間に情報が行き渡らない……などという話は全然出ていないです。念のため。

基準設定
  • セキュリティ対策基準を明確にして、普及に努める

提言はこんなところ。関連するのでここにメモしておきますが、社長は後に別のセッションで、「行政にがんばってほしい。くだらん道路を造るくらいなら援助してほしい」という発言もされていました。

結び

最後に、この言葉で締めくくられました。

  • 「絶対に負けられない戦いののろしが上がった! いざ、出陣!!」

残念ながら質問タイムは無し。質問というか、言いたいことはとてもたくさんありましたが……幸い、後のセッションで高木さんがほとんど言ってくださいました。それについては別途書こうと思います。

感想

私の感想を。

まず、なんと言っても中島社長のキャラクターに圧倒されました。話がとても面白いので、また機会があれば是非、生で聞きたいと思います。メモにはあまり書いていませんが、全体を通して「お客様が困る」「お客様に迷惑がかかる」「お客様のために」と、お客様を第一に考える旨の発言をされていました。非常にまっすぐで、好感の持てる人だという印象を受けました。

ただ、話の内容に賛同できるかどうかと言われると、これはまた別の話になります。

まず、脆弱性についての認識。中島社長の認識は、「戦争」というキーワードで象徴されます。気がついたら弾の飛び交う戦場のただなかにいた……というような表現もされていましたが、「普通の人はSQLインジェクションの弾が当たっても怪我一つしない」などという認識はないでしょう。「普通にちゃんと作れば攻撃されても平気」という認識ではなく、「普通にちゃんと作っても攻撃されてしまうので、厳重な対策が必要」という認識で議論を始められているように思います。この点、多くの技術者の方とは認識が異なるのではないでしょうか。「技術が重要」と言われるカカクコムの安田さんとも対照的だと思います。

関連しますが、提言がどこか他力本願なのも気になりました。「LACだけが頼り」とか「お役所から言ってもらわないと」といった発言がありましたが、「誰かが何かをしてくれるだろう」という受け身の体勢に見えます。意地悪な見方をすれば、「単にハッカーセーフがLACに変わっただけで、本質は変わっていない」とも言えそうです。ただ、前述したように、基本的な認識の部分が違っているために「誰かに何とかしてもらわないと、自分ではどうにもならない」と感じられているのではないかとも思えますが……。

積極的な情報公開をしたい、してほしい、という姿勢には共感できる点もあり、頑張ってほしいところです。

※余談ですが、2日目の最後のセッションはほぼツッコミ大会でした。この話を聞いていなかった人にはわからなそうなネタが大量に……。

続きます : ライフネット生命保険「インターネットとセキュリティに関する企業の責任」

関連する話題: セキュリティ / サウンドハウス / 価格.com / ハッカーセーフ / WASForum Conference / シール

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト