2015年12月19日、CSO Onlineで取り上げられたSanrioTownのデータベースが露出していた問題についてここでは関連情報をまとめます。
公式発表
- 2015年12月22日 Security Advisory: Corrected a vulnerability involving personal information of SanrioTown.com members
SanrioTownとは何か
次のURLよりアクセスできるWebサイトよりサービスが提供されている。
公式のFacebookページの説明によれば、2002年よりサービスが提供されている主に海外のサンリオファン向けのソーシャルネットワークサービス。オンラインゲームであるHello Kitty Online(SanrioTown中ではHKOと略されている)も統合されている。
SanrioTown 運営元組織
- Sanrioが出資する孫会社 Sanrio Digitalと香港現地のゲーム会社Tyhoon Gamesが協業して運用している。*1
タイムライン
| 日時 | 出来事 |
|---|---|
| 2015年11月20日 | SanrioTownのメンテナンスを実施(この作業に問題があった?) |
| 2015年11月22日以降 | Vickery氏が確認できたデータベースへのアクセスが可能であった開始期間 |
| 2015年12月19日 | CSO OnlineがSanrioTownの問題についてVickery氏の調査に関する記事を公開 |
| 2015年12月22日 | SanrioDigitalがセキュリティアドバイザリを公開 |
| : | DB露出問題についてサンリオ、およびホスティング業者へ通知 |
| 2015年12月23日 | サンリオが朝日新聞の取材に対して流出は確認されていないと回答 |
被害状況
登録情報が漏えいした?
- 取材に対してサンリオはSanrioTownからの漏えいは現時点では確認されていないと回答。(調査は継続する)*2
- Chris Vickery氏がCSO Onlineを通じて公開している情報はかなり具体的であること、掲載されているデータの内容がその後発表されたSanrio Digitalの発表内容とほぼ同一であることからも同氏がSanrioTownのデータベースの中身を確認していたと考えられる。
公開されていたデータベース
公開されていたことが推定されているSanrioTownのデータベースの内容はCSO Onlineや朝日新聞の報じた情報によれば次の通り。
- データベースに含まれていた個人情報の件数は約330万件
- 18歳以下で登録されていた件数は186,261件
- 日本人が登録していた人数は約5万2千人
アクセス可能であったデータの内容
SanrioDigitalやChris Vickery氏の確認した情報によれば次の情報がアクセス可能であった可能性がある。
| SanrioDigital発表 | Vickery氏確認 | |
|---|---|---|
| 氏名 | 発表 | 確認 |
| 生年月日 | 暗号済と発表 | 暗号済と確認 但し容易に復号可能 |
| 性別 | 発表 | 確認 |
| 出身国 | 発表 | 確認 |
| メールアドレス | 発表 | 確認 |
| パスワード | SHA1によりハッシュ化されていると発表 | SHA1によりハッシュ化されていると確認 但しSaltは使用されていない |
| パスワードのヒント質問 | 発表 | 確認 |
| パスワードのヒント回答 | − | 確認 |
| ポイントデータ | − | 確認 |
クレジットカード等の金融関係の情報はこのWebサイトでは保持しておらず、今回の問題による漏えいもない。
発端
- 2015年12月19日にSanrioTownのデータベース露出疑惑に関する記事がCSO Onlineに掲載されたことによる。
原因
- SanrioTownのデータベース(恐らくMongoDB)が外部からアクセス可能な状態となっていたことによる。
- CSO Onlineの取材によればこの問題が生じた理由は2015年11月20日に行われたメンテナンスによる可能性がある。
Vickery氏が指摘した他組織事例
Vickery氏は他組織でもデータベースが露出していた問題を報告している。
- MacKeeper (2015年12月14日) MacKeeper セキュリティアドバイザリ
MacKeeperの問題に関してKrebsOnlineへ寄せたコメントではMongoDBのポート「27017」をShodanで確認していたことを述べている。
Vickery told Shodan to find all known instances of database servers listening for incoming connections on port 27017.
http://krebsonsecurity.com/2015/12/13-million-mackeeper-users-exposed/
ShodanもMongoDBのアクセス設定を確認するよう注意喚起をしている。
MongoDBへ行われている探索行為は2015年2月に警察庁も注意喚起している。
- [PDF] MongoDB に対する探索行為の増加について(警察庁)
2.4系のMongoDBは2.4.14(2015年4月28日リリース)まで既定設定で外部からの接続も受け入れることとなっていた(mongod.confのbind_ipがALL設定)ため。
参考:
対策
- データベースのセキュリティ対策の見直し
- ユーザーへのパスワード再設定の案内
更新履歴
- 2015年12月23日 PM 新規公開
*1:サンリオ「個人情報流出」報道にコメント、「香港の出資先・ライセンス供与先と確認中」,INTERNET COM,2015年12月23日アクセス:魚拓
*2:サンリオ「会員情報の流出ない」 可能性指摘後の調査で,朝日新聞,2015年12月23日アクセス:魚拓
