ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2015-12-23

SanrioTownのデータベース露出についてまとめてみた

| 23:30 |  SanrioTownのデータベース露出についてまとめてみたを含むブックマーク

2015年12月19日、CSO Onlineで取り上げられたSanrioTownのデータベースが露出していた問題についてここでは関連情報をまとめます。

公式発表

SanrioTownとは何か

次のURLよりアクセスできるWebサイトよりサービスが提供されている。

公式のFacebookページの説明によれば、2002年よりサービスが提供されている主に海外のサンリオファン向けのソーシャルネットワークサービス。オンラインゲームであるHello Kitty Online(SanrioTown中ではHKOと略されている)も統合されている。

登録してみた

HKOミニゲームやキャラクター画像のダウンロードの他、フォーラムやメールを使うこともできる。

f:id:Kango:20151223232221p:image:w360

Webメールの画面

f:id:Kango:20151223232224p:image:w360

SanrioTown 運営元組織
  • Sanrioが出資する孫会社 Sanrio Digitalと香港現地のゲーム会社Tyhoon Gamesが協業して運用している。*1

タイムライン

日時出来事
2015年11月20日SanrioTownのメンテナンスを実施(この作業に問題があった?)
2015年11月22日以降Vickery氏が確認できたデータベースへのアクセスが可能であった開始期間
2015年12月19日CSO OnlineがSanrioTownの問題についてVickery氏の調査に関する記事を公開
2015年12月22日SanrioDigitalがセキュリティアドバイザリを公開
DB露出問題についてサンリオ、およびホスティング業者へ通知
2015年12月23日サンリオ朝日新聞取材に対して流出は確認されていないと回答

被害状況

登録情報が漏えいした?
  • 取材に対してサンリオはSanrioTownからの漏えいは現時点では確認されていないと回答。(調査は継続する)*2
  • Chris Vickery氏がCSO Onlineを通じて公開している情報はかなり具体的であること、掲載されているデータの内容がその後発表されたSanrio Digitalの発表内容とほぼ同一であることからも同氏がSanrioTownのデータベースの中身を確認していたと考えられる。
公開されていたデータベース

公開されていたことが推定されているSanrioTownのデータベースの内容はCSO Onlineや朝日新聞の報じた情報によれば次の通り。

アクセス可能であったデータの内容

SanrioDigitalやChris Vickery氏の確認した情報によれば次の情報がアクセス可能であった可能性がある。

SanrioDigital発表Vickery氏確認
氏名発表確認
生年月日暗号済と発表暗号済と確認
但し容易に復号可能
性別発表確認
出身国発表確認
メールアドレス発表確認
パスワードSHA1によりハッシュ化されていると発表SHA1によりハッシュ化されていると確認
但しSaltは使用されていない
パスワードのヒント質問発表確認
パスワードのヒント回答確認
ポイントデータ確認

クレジットカード等の金融関係の情報はこのWebサイトでは保持しておらず、今回の問題による漏えいもない。

発端

原因

Vickery氏が指摘した他組織事例

Vickery氏は他組織でもデータベースが露出していた問題を報告している。

MacKeeperの問題に関してKrebsOnlineへ寄せたコメントではMongoDBのポート「27017」をShodanで確認していたことを述べている。

Vickery told Shodan to find all known instances of database servers listening for incoming connections on port 27017.

http://krebsonsecurity.com/2015/12/13-million-mackeeper-users-exposed/

ShodanもMongoDBのアクセス設定を確認するよう注意喚起をしている。

MongoDBへ行われている探索行為は2015年2月に警察庁も注意喚起している。

2.4系のMongoDBは2.4.14(2015年4月28日リリース)まで既定設定で外部からの接続も受け入れることとなっていた(mongod.confのbind_ipがALL設定)ため。

参考:

対策

更新履歴

  • 2015年12月23日 PM 新規公開