三菱UFJニコスがOpenSSLの脆弱性を突かれて不正アクセスを受けた件をまとめてみた

三菱UFJニコスのWebサイトが不正アクセスを受け、会員情報が不正に閲覧されたと発表しました。ここでは関連する情報をまとめます。

概要

2014年4月11日に三菱UFJニコスが自社Webサイトで不正なアクセスを検知し、Webサイトを停止。その後詳細な調査結果として、4月18日に第3報を公開し、そこでOpenSSLの脆弱性(恐らくCVE-2014-0160)を悪用した不正アクセスであったことを報告。

三菱UFJニコスの不正アクセスに関連した発表

(1) 被害状況

不正閲覧会員数 894名(延べ)
- カード発行業務を受託している先の会員を含む

不正閲覧された情報概要
- クレジットカード番号(一部は非表示)
- 氏名
- 生年月日
- 住所
- 電話番号
- メールアドレス
- クレジットカード有効期限
- WebサービスID
- カード名称
- 入会年月
- 利用代金支払い口座(金融機関名、支店名)
- 勤務先
- 勤務先電話番号

パスワード・暗証番号は閲覧されていない
- クレジットカードの暗証番号やWebサービスのログインパスワードは不正閲覧されていない。

クレジットカードの不正利用は確認されていない

セキュリティの都合上、以下についてはコメント出来ないとしている。*1
- OpenSSLの脆弱性悪用を特定した方法
- サーバーの秘密鍵が閲覧された恐れがあるかどうか

(2) 発端

OpenSSLの脆弱性を突く不正なアクセスをIPSが4/11 6:33に検知したことによる。
- 攻撃件数は「相当数」
- 警察への被害相談を行っているため、具体的な規模、発信元については明らかにしていない。*2

(3) 原因

OpenSSLの脆弱性が未修正であったため
- どのようにOpenSSLの脆弱性が悪用され会員情報が不正に閲覧されたのかについて明らかにはされていない。
- 発表されている被害報告でOpenSSLの脆弱性が悪用された事例は国内では初めてとなる。

(4) 三菱UFJニコスが停止したWebサイト

以下は11日14時30分から12日7時33分まで三菱UFJニコスが停止していたWebサイト。ただし、全てにおいてOpenSSLの影響を受けていたかは発表されていない。

NEWS+PLUS
MUFJカードWebサービス　
DC Webサービス　
Web会員サービス「Net Branch」　
POINT名人.com
三菱UFJ提携カードサイトからの上記サービスの利用
Webサイトからのクレジットカード申込み

停止したWebサイトのドメインの証明書で2つが再発行されている模様
- 証明書の再発行については公式発表・報道は行われていない。

No	ドメイン	Webサーバー	証明書有効期限開始日	Webサイト	SSL Labs ServerTest
1	www.cr.mufg.jp	Apache	2014年4月11日	MUFJカードWebサービス DC Webサービス Web会員サービス「Net Branch」	HeartBleed:No (2014/4/20 Checked)
2	www2.cr.mufg.jp	Apache	2014年4月11日	NEWS+PLUS	HeartBleed:No (2014/4/20 Checked)
3	www.point-meijin.com	Apache	2013年12月2日	POINT名人.com	HeartBleed:No (2014/4/20 Checked)

(5) 対応・対策

対応
- Webサイトの緊急停止
- 被害状況の調査
- 影響を受けた会員へID再設定等の連絡(メール、電話、郵送) *3
- 対応窓口の設置
- 不正アクセス被害に関する発表(合計3回)
- 警視庁サイバー犯罪対策課に被害報告*4
  - 被害届はまだ出していない。出す方向で検討中。*5

対策
- システムの防衛体制のさらなる強化
- ネット不正対応専門チームの組成

インシデントタイムライン

2014/4/8
- OpenSSL.orgから脆弱性情報CVE-2014-0160が公開される(詳細)
2014/4/9夜〜11午前
- 不正なアクセスが繰り返される*6 *7
2014/4/9
- 19時頃三菱UFJニコスのシステムが不正アクセスを受け侵入される*8
2014/4/10
- OpenSSLの脆弱性について三菱UFJニコスが認識。
- OpenSSLの脆弱性について対応策の検討を開始
2014/4/11
- 6:03 IPSにOpenSSLの脆弱性の検知ルールを投入
- 6:33 IPSが不正アクセスを検知
- 不正アクセスがOpenSSLの脆弱性を狙ったものであること判明
- 影響範囲の調査を開始
- 10:15 OpenSSLの脆弱性を塞ぐ措置を実行*9
- 14:30 Webサイトを停止
- 不正アクセス被害を受けたことを発表(第1報)
2014/4/12
- 未明 OpenSSLのバージョンアップ対応
- 7:48 Webサイトを再開
- 不正アクセス被害状況、及びWebサイトの再開を発表(第2報)
2014/4/18
- 不正アクセス被害の詳細調査結果を発表(第3報)

参考

徳丸さんが特設デスクへの問い合わせ内容をつぶやいていたのでメモ

三菱UFJニコスの特設デスクに電話してみました。まず、私の会員情報は漏えいしていないのかと聞くと、該当会員についてはメールでも連絡しているが、この場でも調べられるとして、氏名と生年月日を伝えたところ、「徳丸様の情報は漏えいの対象になっていないのでご安心ください」とのこと（続く）
— 徳丸　浩 (@ockeghem) 2014, 4月 20

徳丸「OpenSSLの脆弱性（リリースにあった言葉を使用）では、不正アクセスの記録が残らないと聞きましたが、どうやって調べたのですか? 」と聞いたところ、しばらくお待ち下さい、の後（続く）（続く）
— 徳丸　浩 (@ockeghem) 2014, 4月 20

UFJニコス「不正アクセスの期間が分かっていて、その期間、起点となったIPアドレスからのアクセスに含まれていないことで判断しました」。徳丸「Webアクセスについて分かりましたが、例えばパスワードを入力した内容がメモリに残っていて、それが漏えいしていないとは言い切れないのでは?」
— 徳丸　浩 (@ockeghem) 2014, 4月 20

UFJニコス「当社では不正アクセスの監視をしておりまして」。徳丸「OpenSSL脆弱性への攻撃を監視する（フルパケットキャプチャのような）特殊な装置がないとできないと思うのですが、それを実施されていたのですか?」UFJニコス「詳細についてはセキュリティ上の理由で回答できません」
— 徳丸　浩 (@ockeghem) 2014, 4月 20

【続き】ということで、おそらく不正アクセスを検知した後、不正アクセスの起点のIPアドレスと期間を絞り込み、その期間そのIPアドレスからアクセスされた会員の人数を発表しているのだと推測しました。
— 徳丸　浩 (@ockeghem) 2014, 4月 20

【続き】侵入経路は聞いていませんが、昨日ツイートしたように、漏えいしたセッションIDを用いたものと推測します。パスワードが本当に漏れていないかは、電話で聞いた内容からは判断できませんが、グレーなのではないかという印象。【とりあえず終わり】
— 徳丸　浩 (@ockeghem) 2014, 4月 20