Casio discloses data breach impacting customers in 149 countries
2023/10/19 BleepingComputer — 日本の電子機器メーカーである CASIO が発表したのは、同社の教育プラットフォーム “ClassPad” のサーバーに侵入したハッカーにより、149カ国の顧客に影響を与えるデータ漏洩が発生したことだ。10月11日 (水) に CASIO は、同社の開発環境内にある ClassPad のデータベースに発生した障害により、このインシデントを検知した。その関連性を示唆するのが、翌日である 10月12日に発生した、攻撃者による顧客の個人情報への不正アクセスである。
流出したデータに含まれるのは、顧客の氏名/電子メールアドレス/居住国/サービス利用詳細/支払い方法/ライセンスコード/注文明細などの購入情報である。ただし、CASIO によると、漏洩したデータベースにはクレジットカード情報は保存されていないという。
10月18日の時点で攻撃者は、日本の顧客 (個人および教育機関の顧客 1,108人を含む) 91,921件と、日本以外の 148の国と地域の顧客 35,049件にアクセスしていた。
CASIO は、「現時点で確認されたことは、担当部署のシステム操作ミスや、運用管理不足により、開発環境のネットワーク・セキュリティ設定の一部が無効化されていたことだ。これらが要因となり、外部からの不正アクセスを許す事態を招いたと、当社は捉えている」と述べている。
ClassPad はオンラインという侵害以前の主張
侵害されたデータベースは、現時点では “外部からアクセスできない” 状態だが、 ClassPad.net アプリは引き続き稼働している。CASIO が明らかにしているのは、開発環境内の侵害されたデータベース以外のシステムには、ハッカーが侵入していないことである。
10月16日 (月) に CASIO は、日本の個人情報保護委員会に問題を報告し、法執行当局と協力し、情報漏洩の調査を推進している。
また、CASIO は、外部のサイバーセキュリティやフォレンジックの専門家と協力し、内部調査を実施することで、インシデントの根本的な原因を究明し、侵害への対応策を策定している。
2023年8月の上旬に、サイバー犯罪フォーラム BreachForums で thrax と名乗る脅威アクターが主張したのは、古い casio.com データベースで用いられる Remote Desktop Services (RDS) サーバから盗み出したとする、120万人以上のユーザー記録の流出である。
盗まれたとされる情報に含まれていたのは、2011年7月以前における、エントリ/AWSキー/データベース認証情報などである。
この脅威アクターは、「この DB は、かなり古いものであるが、信じられないことに、いまでも生きている RDS サーバからダンプされたものだ。もし AWS のキー (S3 バケットへのアクセスなどの重要なパーミッション) や、データベースの認証情報などが欲しい人がいたら、私に DM を送って欲しい。私が AWS キーを渡したユーザーは、別のデータベースを見つけることに成功した。このデータベースを調べた結果、参照できた最新の日付は 2006年1月であり、これも古いデータベースだった」と述べている。
本日の未明に BleepingComputer は、thrax の主張を確認し、10月のインシデントに関する追加情報を得るために、CASIO の広報担当者に連絡を取ったが、すぐにコメントを得ることができなかった。
この CASIO のデータ流出と、thrax と名乗る脅威アクターの主張は、かなり珍しいケースだと感じます。この脅威アクターの話を信じると、とても古いデータが盗み出されているわけですが、その点について CASIO は、なにも言及していません。同社におけるデータの管理が、どうなんっていたのか、そのあたりに興味が集中する話です。
IoT OT Security News 
You must be logged in to post a comment.