ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2014-04-19

三菱UFJニコスがOpenSSLの脆弱性を突かれて不正アクセスを受けた件をまとめてみた

| 13:38 |  三菱UFJニコスがOpenSSLの脆弱性を突かれて不正アクセスを受けた件をまとめてみたを含むブックマーク

三菱UFJニコスWebサイト不正アクセスを受け、会員情報が不正に閲覧されたと発表しました。ここでは関連する情報をまとめます。

概要

2014年4月11日に三菱UFJニコスが自社Webサイトで不正なアクセスを検知し、Webサイトを停止。その後詳細な調査結果として、4月18日に第3報を公開し、そこでOpenSSL脆弱性(恐らくCVE-2014-0160)を悪用した不正アクセスであったことを報告。

(1) 被害状況
  • 不正閲覧会員数 894名(延べ)
    • カード発行業務を受託している先の会員を含む
  • セキュリティの都合上、以下についてはコメント出来ないとしている。*1
    • OpenSSL脆弱性悪用を特定した方法
    • サーバーの秘密鍵が閲覧された恐れがあるかどうか
(2) 発端
  • OpenSSL脆弱性を突く不正なアクセスをIPSが4/11 6:33に検知したことによる。
    • 攻撃件数は「相当数」
    • 警察への被害相談を行っているため、具体的な規模、発信元については明らかにしていない。*2
(3) 原因
  • OpenSSL脆弱性が未修正であったため
    • どのようにOpenSSL脆弱性が悪用され会員情報が不正に閲覧されたのかについて明らかにはされていない。
    • 発表されている被害報告でOpenSSL脆弱性が悪用された事例は国内では初めてとなる。
(4) 三菱UFJニコスが停止したWebサイト

以下は11日14時30分から12日7時33分まで三菱UFJニコスが停止していたWebサイト。ただし、全てにおいてOpenSSLの影響を受けていたかは発表されていない。

  • 停止したWebサイトのドメインの証明書で2つが再発行されている模様
    • 証明書の再発行については公式発表・報道は行われていない。
NoドメインWebサーバー証明書有効期限開始日WebサイトSSL Labs ServerTest
1www.cr.mufg.jpApache2014年4月11日MUFJカードWebサービス
DC Webサービス
Web会員サービス「Net Branch」
HeartBleed:No (2014/4/20 Checked)
2www2.cr.mufg.jpApache2014年4月11日NEWS+PLUSHeartBleed:No (2014/4/20 Checked)
3www.point-meijin.comApache2013年12月2日POINT名人.comHeartBleed:No (2014/4/20 Checked)
(5) 対応・対策
  • 対応
    • Webサイトの緊急停止
    • 被害状況の調査
    • 影響を受けた会員へID再設定等の連絡(メール、電話、郵送) *3
    • 対応窓口の設置
    • 不正アクセス被害に関する発表(合計3回)
    • 警視庁サイバー犯罪対策課に被害報告*4
      • 被害届はまだ出していない。出す方向で検討中。*5
  • 対策
    • システムの防衛体制のさらなる強化
    • ネット不正対応専門チームの組成

インシデントタイムライン

参考

徳丸さんが特設デスクへの問い合わせ内容をつぶやいていたのでメモ

更新履歴