# 情報危機管理コンテスト (事前準備) ## 顧客へのアバイス [あいさつ] ``` 〇×システムソフト開発 白浜様 お世話になっております。 OIT情報監査株式会社の久志本と申します。 この度は弊社にご相談を頂きありがとうございます。 早速ですが、白浜様のご相談内容を拝見しました。 ご相談頂きました２つの問題についてですが、弊社では以下のような結論に至りました。 - 身に覚えのない金券譲渡 アカウントの乗っ取りの可能性大 - 不審なイベント参加 当該ユーザーによる個人カードの多量コピーの可能性大 上記の問題につきましては、これより、前者を事案１、後者を事案２と表記させて頂きます。 ``` --- [## 目次] ``` - [初期対応](#初期対応) - [本対応](#本対応) - [情報収集](#情報収集) - [その後の対応](#その後の対応) - [事案１](#事案１) - [事案２](#事案２) - 最後に ``` [事実確認] [方針] ``` [検討の方針] [報告書の記述方針] ``` --- ## 初期対応 原因の究明を開始する前に、被害拡大防止のため、以下の応急処置を行うことを推奨致します。 - 問題のあったユーザーアカウントの一時凍結 - イベント機能の停止 次に問題の起きたユーザーへの謝罪・状況報告等を行ってください。 最後に他のユーザーに対しても、インシデントの発生を通知し、パスワードを変更するなど自衛措置の実施を勧めて下さい。 状況によっては、システムの全停止も視野に入れるべきであると考えます。 ## 本対応 ### 情報収集 はじめに、必要な情報の収集をお勧めします。 収集の対象となる情報は大きく分けて2種類ありますので、以下の項目について収集して下さい。 #### システムに関する調査 - 事案１について - 関係者のログインおよびコマンド履歴 - サーバー内プログラムの実行ログ - クライアントアプリの実行ログ - 事案２について - 関係者のログインおよびコマンド履歴 - サーバー内プログラムの実行ログ - ポイント付与に関するデータベース #### 関係者に対する調査 - 事案１について - 不審なサイトにアクセスしたか？ - 身に覚えないログインがないか？ - 初期パスワードの変更を行ったか？ - パスワードを知っている人は自分以外にいるか？ - 事案２について - 個人カードを多量コピーしたか？ - 実際にイベントが開催されていたか？ - 不審なアカウント申請があったか？ - 不審なイベント申請があったか？ ### その後の対応 想定されうる問題について優先度を設けましたので、優先度の高いものから順に得た情報と照らして合わせて対処をお願いいたします。 --- - **優先度の判定基準** 優先度は、影響範囲・対処容易性・可能性により決定しています。 各指標は３段階で評価され、それらを合計した総合スコアが高いほど優先度が高いと判断しています。 総合スコアが同じであった場合は、左の指標が高い項目を優先されます。 - 影響範囲 発生している問題１件あたりの影響範囲により判定しています。 **例) 広い 3 ---- 2 ---- 1 狭い** - 対処容易性 対処がどのくらい難易度であるかを示します。例えば運用方法などの人的な対応で対処できるものは容易であると判断しています。反対にプログラムへの機能追加や修正などを伴う場合は時間がかかるため、難しいと判断しています。 **例) 簡単 3 ---- 2 ---- 1 難しい** - 可能性 問題が発生した可能性を示します。 原因となるシナリオが多く考えられる問題ほど、起こる可能性を高く判定しています。 **例) 高い 3 ---- 2 ---- 1 低い** - **補足事項** １つの問題に対して可能性のあるシナリオがいくつかあり、その対策についても複数書かれています。基本的には重要度の高い順番に書いていますので、上から順番に確認・実施をお願い致します。 ### 事案１ | 優先度 | 考えられる問題 | 影響範囲 | 対処容易性 | 可能性 | 総合 | | :-: | ------------- | :---: | :------: | :-----: | :-: | | 1 | [アカウントの乗っ取り](#アカウントの乗っ取り) | 3 | 1 | 3 | 7 | | 2 | [サーバープログラムのバグ](#サーバープログラムのバグ) | 2 | 2 | 3 | 7 | | 3 | [クライアントアプリのバグ](#クライアントアプリのバグ) | 2 | 2 | 2 | 6 | | 4 | [ユーザーの操作ミス](#ユーザーの操作ミス) | 1 | 2 | 1 | 4 | | 5 | [ユーザーによる自作自演](#ユーザーによる自作自演) | 1 | 1 | 1 | 3 | | 6 | [その他注意事項](#その他注意事項) | * | * | * | * | #### アカウントの乗っ取り 1. ソーシャルエンジニアリングによる漏洩 - 概要 何者かによってログイン時にパスワードを覗き見られたか、パスワードを記した紙や台帳を盗み見られた恐れがあります。 **どうやって確認?** **状況** - 確認方法 - 対応方法 - ユーザーに求めるべきこと 1. 他人に覗き見られる心配のない空間でのパスワード変更 2. 厳重なパスワード管理 - 貴社が行うべきこと 1. 2段階認証の導入 重要な操作には2段階認証を導入して下さい。代表的なものにＳＭＳ認証がありますが、アカウント所有者の電話番号宛てにパスワードとは別のランダムな認証用コードが送られるため、利便性の低下と引き換えに万が一の被害を抑えることができます。 2. 他社サービスからのパスワード流出 - 概要 ユーザーが他社サービスでも全く同じパスワードを使っていた場合、他社サービスから流出したパスワードで何者かによって本サービスにも不正ログインされてしまった可能性があります。 - 対応方法 - ユーザーに求めるべきこと 1. サービスごとに異なるパスワードを利用する - 貴社が行うべきこと 1. 生体認証によるログイン機能を導入する ユーザーはパスワードをたくさん暗記できないがために同じパスワードを使いまわします。したがって、使いまわしを防止するためにパスワードが分からなくてもログインできる生体認証を導入すべきです。パスワードは生体認証に失敗したときの手段として利用していくことをお勧めします。 3. マルウェアに感染している - 概要 ユーザーの端末がマルウェアに感染していた場合、キーボードの入力や端末内に保存しているパスワードデータなどを何者かに盗み取られた可能性があります。 - 対応方法 - ユーザーに求めるべきこと 1. 端末の初期化 2. ストア以外からのアプリインストールを設定で禁止する - 貴社が行うべきこと 1. root権限、開発者ツールの拒否 端末においてrootや開発者ツールが有効化されていた場合、通常の端末よりもマルウェアは力を発揮しやすくなるため、これらをアプリ側で検知してログインを拒否することである程度被害を抑えることが可能となります。 4. 自治体関係者による不正行為 - 概要 自治体関係者がアカウント作成の権限を利用して金券譲渡用の捨てアカウントを作成、アカウント作成業務を通して知り得たユーザーのパスワードを悪用した可能性があります。 - 対応方法 - ユーザーに求めるべきこと 1. パスワードの変更 - 貴社が行うべきこと 1. 管理者のユーザー管理 誰が操作したかわからなくなるため、管理者にも個別にアカウントを用意することを推奨します。 5. 脆弱なパスワード - 概要 ユーザーが設定しているログインパスワードが脆弱であったが為に、何者かによって総当たり(辞書)攻撃を受けた可能性があります。 - 対応方法 - ユーザーに求めるべきこと 1. パスワードの変更 出来る限り長い文字列を設定するようにして下さい。ローマ字化された、簡単な日本語文の入力を推奨します。 - 貴社が行うべきこと 1. 短いパスワードを設定できないようにすべきです 記号や数字の利用を強制する手法もありますが、規則的なパスワードを生み出すためお勧めしません。 6. セッション管理の不備 - 概要 セッションの管理が不適切であったがために、何者かによってユーザーのアカウントが一時的にジャックされた可能性があります。 - 対応方法 - ユーザーに求めるべきこと なし - 貴社が行うべきこと 1. セッション管理について適切な状態へ変更する #### サーバープログラムのバグ 1. アプリ認証の脆弱性 - 概要 何者かによって正規アプリからのアクセスであることを確認する認証が突破されている場合、不正なプログラムからのアクセスを許すことになります。 - 対応方法 - ユーザーに求めるべきこと 特にありません。 - 貴社が行うべきこと 1. 不審なアクセスの確認 確認された場合はプログラムを直ちに修正してください。 2. 譲渡システムの不具合 - 概要 誰も関与することなく勝手に譲渡が発生している可能性があります。 - 対応方法 - ユーザーに求めるべきこと 特にありません。 - 貴社が行うべきこと 1. 不審なアクセスログの確認 2. プログラム実行ログの確認 3. 譲渡履歴の確認 ログインがないのに譲渡が発生している場合は、譲渡システムによる不具合の可能性が濃厚です。直ちにプログラムを修正してください。 3. 譲渡履歴のバグ - 概要 譲渡履歴に関するシステムにバグがあった場合、譲渡が発生していなくても譲渡されたように見えます。 - 対応方法 - ユーザーに求めるべきこと 特にありません。 - 貴社が行うべきこと 1. プログラムにおける実行ログの確認 2. 譲渡履歴の確認 譲渡を実行した形跡がないにも関わらず履歴が残っていた場合当該バグが発生しているので直ちにプログラムを修正して下さい。 4. プログラム構成言語における脆弱性 - 概要 システムプログラムを構成する言語(PHP、GOなど)において脆弱性が含まれており、何者かによって悪用された可能性があります。 - 対応方法 - ユーザーに求めるべきこと 特にありません。 - 貴社が行うべきこと 1. 最新の言語環境にアップデート 2. 最新のフレームワーク・ライブラリにアップデート 3. リビルド #### クライアントアプリのバグ 1. 特定の操作をすると勝手に譲渡される 2. 譲渡履歴の表示バグ - 概要 クライアントアプリにおいて、譲渡履歴が正常に表示されていない可能性があります。 - 対応方法 - ユーザーに求めるべきこと 1. クライアントアプリの実行ログ提示 - 貴社が行うべきこと 1. サーバー側プログラムにおける実行ログの確認 2. サーバー側における譲渡履歴の確認 #### ユーザーの操作ミス 1. アプリのデザインがとてもわかりにくい - 概要 アプリのデザインがとてもわかりにくいが為に、ユーザーが自分の意志と異なる操作を無意識に実行している可能性があります。 - 対応方法 - ユーザーに求めるべきこと 特にありません。 - 貴社が行うべきこと 1. アプリ内のデザイン変更 2. 重要な操作における確認画面の表示 #### ユーザーによる自作自演 1. ユーザーが嘘のクレームを出している - 概要 何らかの理由でユーザーが嘘をついている可能性があります。 - 対応方法 - ユーザーに求めるべきこと 1. 真実 - 貴社が行うべきこと 1. 被害届の提出 上記すべての可能性を検討したうえでいずれも当てはまらなかった場合はユーザーが嘘をついている可能性がありますので、威力業務妨害などで被害届を提出し、警察の捜査に委ねて下さい。 #### その他注意事項 以下に列挙している項目は、ほとんど関係がありません。しかしながら、このまま放置した場合新たな問題の発生が懸念されますのでご報告致します。 1. 譲渡先の指定方法 - 概要 譲渡先の指定には名前を用いることになっていますが、同姓同名の相手は世の中におおく存在するため、衝突してしまい正常に譲渡できない可能性があります。 - 対応方法 譲渡先の指定には一意に決まったＩＤを使用するように仕様を変更して下さい。 2. 印刷型金券の使いまわし - 概要 ＱＲコードを印刷した金券は使用しても金券自体は手元に残るため、プログラムにバグがあった場合、ユーザーが何度でもスキャンして使える可能性があります。 - 対応方法 - 挙動の確認 - プログラムの修正 挙動に問題があった場合は直ちにプログラムを修正して下さい。 3. 第三者による不正なＱＲコードの生成 - 概要 ＱＲコードのフォーマットが脆弱であった場合、ユーザーに関する情報のみを編集するなどして、何者かが他人名義の金券を作ることができる可能性があります。 - 対応方法 金券のデータ自体はサーバー上で管理して、ＱＲコードはサーバー上に存在する金券を指定するだけの役割にとどめるようにすることをお勧めします。ＱＲコードには最低限の情報のみ記載するべきです。 ### 事案２ | 優先度 | 考えられる問題 | 影響範囲 | 対処容易性 | 可能性 | 総合 | | :-: | ------------- | :---: | :------: | :-----: | :-: | | 1 | [個人カードによる不正登録](#個人カードによる不正登録) | 3 | 1 | 3 | 7 | | 2 | [関係者による内部不正](#関係者による内部不正) | 3 | 2 | 2 | 7 | | 3 | [不正ログイン](#不正ログイン) | 2 | 2 | 1 | 5 | | 4 | [参加リクエストを外部から投げられる](#参加リクエストを外部から投げれる) | 1 | 2 | 1 | 4 | #### 個人カードによる不正登録 1. 当該ユーザーによる不正 - 概要 当該ユーザーが個人カードを多量にコピーし、複数人に配布することにより多数のイベントに参加している可能性があります。 - 対応方法 個人カードの印刷回数をユーザーの家族の人数以上はできないようにしてください。また、１つのイベントで同一の個人QRコード読み取れる回数を制限してください。 2. イベント主催者による不正 - 概要 イベント主催者同士がイベント開催前に個人カードを渡しあい、イベント当日に個人QRコードを読み取っている可能性があります。 - 対応方法 イベント主催者はイベント開催日に、自身のイベントへの参加と他のイベントには参加できないようにしてください。 3. 自治体による不正 - 概要 悪意ある自治体の職員がイベント主催者に個人カードを渡してあり、イベント当日に個人QRコードを読み取らせている可能性があります。 - 対応方法 自治体の職員に事情聴取し不正を行っていた職員を特定できたら厳重に注意してください。また、イベント申請を受け取る職員は、個人カードをイベント主催者に渡さないようにするために、受け取る職員を２人体制にしお互いが監視を行うようにすること自治体にお勧めしてください。 #### 関係者による内部不正 1. 自治体の職員とイベント主催者の結託 - 概要 悪意ある自治体の職員とイベント主催者が結託しており、職員が架空アカウント作成と架空イベントの承認を行い、イベント主催者が架空イベント当日に架空アカウントの個人QRコードを読み取っている可能性があります。 - 対応方法 イベントが実施された地域の周辺住民に実際にイベントが実施されていたか確認を行うようにしてください。また、該当ユーザー架空の人物でないかの確認も行ってください。 2. 関係者が虚偽の発言をしている - 概要 悪意のある貴社の社員が特定のユーザーに付与されるポイントを故意に変更している可能性があります。 - 対応方法 - ポイント付与に関するデータベースの確認 - サーバー内のプログラム実行ログの確認 今一度貴社の社員に対して事情聴取を行い不審な発言がないか確認してください。 #### 不正ログイン 1. 社員の情報漏洩 - 概要 貴社の社員ID/パスワードが漏洩しており、漏洩したID/パスワードを用いて外部者ログインしている可能性があります。 - 対応方法 社員のログイン履歴を確認の上、本人に当該時間にログインを行っていたか確認をしてください。また、社員のパスワード変更も行ってください。 2. 見落としている可能性 - 概要 外部からのログインを確認した人が、見落としている可能性があります。 - 対応方法 外部からのログイン及びコマンド履歴の確認を複数人で行ってください。 #### 参加リクエストを外部から投げられる 1. サーバーの脆弱性 - 概要 サーバーの脆弱性を見つけた外部者が、サーバーに対してイベント参加リクエストを投げている可能性があります。 - 対応方法 セキュリティ対策ソフトが最新バージョンのものであるか確認してください。最新でなければアップデートを行ってください。 [まとめ] ``` ```