【IT】OpenSSL欠陥、三菱UFJニコス894人個人情報流出か　被害判明は国内初 [4/19]

ＯｐｅｎＳＳＬ:三菱ＵＦＪニコス８９４人個人情報流出か
http://mainichi.jp/select/news/20140419k0000e040190000c.html
毎日新聞　2014年04月19日　11時31分


　クレジットカード大手の三菱ＵＦＪニコスは、同社のホームページへの不正ア
クセスで、延べ８９４人分の個人情報が流出した可能性があると発表した。会員
向けサービスで使っている暗号化ソフト「ＯｐｅｎＳＳＬ（オープン・エス・エ
ス・エル）」の欠陥が狙われた。このソフトの欠陥による被害が明らかになるの
は国内では初めて。

　同社によると、不正アクセスは９日夜から１１日午前に発生し、会員の名前や
生年月日、住所、電話番号、メールアドレス、勤務先名などが閲覧された。１１
日朝、不正アクセスに気づき、サービスを停止。ソフトの欠陥を修正した上で１
２日朝に再開した。

　カード番号は一部しか見られず、パスワードも閲覧されていなかったため、買
い物などで不正利用される可能性について同社は「極めて低い」と説明。会員に
パスワードなどを変更するよう連絡するとともに、警視庁にも被害を報告した。
同社は「大変な心配と迷惑をかけたことを深くおわびする」としている。

　ＯｐｅｎＳＳＬは電子商取引などに幅広く使われているが、今月７日、情報流
出を招く重大な欠陥があることが公表され、警察庁などが修正版への更新を呼び
かけている。【朝日弘行】


関連スレ：
【IT】匿名性崩壊　TorノードにOpenSSLの脆弱性、通信内容の平文流出も [4/18]
http://ai.2ch.net/test/read.cgi/newsplus/1397792467/

<丶｀∀´>

updateしてなかったのかよ。

なんで被害に遭う前に更新しないのかな

これは酷い。あれだけ報道してたのに金融機関が対応してないとか、駄目すぎる。

ｷﾀ━━━━(ﾟ∀ﾟ)━━━━ !!

更新してなかったのか

意識が低い会社は危険だわ

うちは0.9.8だから関係ないもんね〜
アプデさぼって本当に良かったｗ

ぶっちゃけ、気づくだけましだと思う。
他のところは気付いてさえ居ないだろうと。

即日アップデートかけられるフットワークの軽いところなんかほとんどないからな。

ほとんどのところはテスト環境とかで入念にバッチに問題がないか
検証してからになるから何日もかかる。

F判定ｗｗｗ

https://www.ssllabs.com/ssltest/analyze.html?d=www.cr.mufg.jp

>>1

変態新聞が、

三菱UFJニコスはOpenSSL使ってますってサイバー犯罪者に広告してる記事だな。

ミーハーはだめだね

ＴＶ報道されましたね
ほかにもカード関係で使っているとこが

不正アクセスされた時に894人分のデータがメモリ上にあった
なんて細かなことがログに残るもんなのか?

自宅サーバだけど実際に支那からのアクセス妙に増えたわ。
180.153.195.131
とか
218.77.79.34
とか。
ファイヤーウォールで国ごとDROPしてるけど。

不正アクセスの痕跡が残らない、って言ってなかったっけ？
なんでわかったの？

>>17
不正アクセスかどうかはわからないけどファイヤーウォールのログにアクセスがあったことが残る。
で、OpenSSLの問題が明らかになったのを境に、従来と比べて中国からのアクセスが急増したわけ。

確認してないけどパートの給料入ってないのか？店が夜逃げしたかな〜＞＜

>>1
バグが大きく報じられたのって日本時間で８日だよね。
その後も放置したんだ。

今問い合わせしたら大丈夫だと言われた
別記事では漏れた該当者にはメール連絡してるらしいが
個人情報漏れた漏れないに関わらず、カード保持者全員にメール連絡出来ないのかな

>>18
なるほど。
データが盗まれた可能性がある、ってわかるのは、そのデータにアクセスした痕跡がファイヤーウォールのログにあったということか？
そのデータが回線通って外に流れたかどうかは、データ転送量の変化とかでわかるのかな？
それとも、データへのアクセスがあった、のがわかっただけだから、データが盗まれた「可能性がある」って、可能性と言っているのかな？

>>10
プレスリリース
http://www.cr.mufg.jp/corporate/info/pdf/2014/140418_01.pdf
の通りだとすれば、
・11日午前6時33分に不正アクセスを確認した後、
調査したうえで（何時かはわからんが）Webサービスをいったん停止、
・12日未明にアップデート等をすませて
・12日7時48分にサービス再開
という流れになっている。何日もかけてたらたらとなんてことはやって
いないぞ。

注意喚起でてから何日経ってんの…

自分が使っている金融機関のサイトを見ても、情報の記載をした企業は無かった。
・影響の有無(対応の要否)
・対応状況(済・未済)
等を顧客へ報知

>>23
発覚から1日で復旧再開できるなら
何故不正アクセスされるまで放置してたかという話になるな

個人情報漏らしても誰も責任を取らない方が漏れた事より問題。
「漏らしてサーセンｗ」で済ますなよ。

ここのクレカ7日に作ったばっかだよ
去年は2chで別のカードお漏らしされたし
ついてないな

9日には公開されて11日対応だなんて、こんだけ対応遅ければ抜かれるだろ。

まさかOpenSSLに責任転嫁しようとしてないよな・・・

去年まで某金融のセキュリティを担当してたけど、４／７に脆弱性が見つかってあれだけ大騒ぎしてたのにupdateしてないなんてありえない。
今回の場合、JPCERTの注意喚起の後にすぐ対応すれば未然に防げたのに。。。
この会社のセキュリティ担当は意識が相当低いと思う。これは完全にセキュリティ担当の怠慢だよ。

↓三井住友ビザカードのコピペ

うちの会社も使ってたので確認したらVer.0.9でバグ混入より古かった・・・

JPCERT自体動き遅いからね
早期警戒で何処まで出してるか知らんが
海外のセキュリティ関係のBBS見てないと追いつけない

マジかよこれはやばいな

>>15
あとよくわからんのが
どこの（仮想？）アドレスに何（鍵やパスワードとか）が入ってるか
推測できるもんなのかね
物理メモリが見えてるんだとしたらVMAとのマッピングもわからんといけないし

OpenSSLが使ってる秘密鍵ぐらいはバレるとして、
そこから他のセッションの通信内容やhttpサーバが記録してるデータの内容を入手するのって
相当なギャップがありそうな気がするけど... 実証コードとかで確認されてるのかな

＞ 延べ８９４人分の個人情報が流出した可能性

少ないんな

>>22
ファイァウォールのログからどのデータが盗まれたかどうかはまずわからない。
カード会社の場合、PCIDSSの規定によりDBにアクセスした際の監査証跡の保存が求められているから、
そこからどのデータがアクセスされたか追跡したのだと思う。（自分であれば確実にそうする。）

今回の脆弱性って中途半端なバージョンが対象じゃん
5系は対象外でcent6とか6.1くらいだろ？それなら208.5日の方が嫌でアップデートするわ

12日にサイト利用しにいったら、攻撃されたんでサービス止めてたみたいな案内が載ってたな
やはり、抜かれてたか
おいらのは大丈夫かしら？(´･ω･`)

>>36
セッション上のメモリが他の人からも見れちゃうとかでしょ
なので、怪しい時間にアクセスした人が894人いたってだけ
実際見られたかもわからないし、セッション情報にクレジットの番号とかは
持ってなかったか暗号化して持たせてたからあんま問題ないはず

わくわくドキドキの未来ってこれか

ハーゲンダッツ食べたい

カード保持者だけど、他のサイトから購入した分には大丈夫ってこと？

パスワード変更してもカード番号を変更しないと意味無いし

>>39
うちはCentOS5系だったので助かった。
もっとも社内システムの情報系なんで外部から入れないし
漏れたからどうなの？って程度の情報ぐらいしかないけど。

こちらが警戒しても、大本が馬鹿揃いだから。

異常に大きい返信バイト数になる。
opensslの有効判定の通信で10バイト送って65535バイト送ったと申告すると、実際に送った
10バイトに続くメモリ上にある65525バイト分のデータを送り返してしまう。
そのデータの固まりのなかに有用なデータが入っている可能性があるだけで、ねらい打ちに
個人データを引き抜けるわけではない。
なんでこんな実装になっているのか知らないが、わざとバックドアとして仕組んであったんじゃないのか。

これってWebサービス使ってる人達だけでしょ？

パスワードも、ログインパスワードのことでしょ？

データベースが覗ける状態だったの？

教えてエロい人

手数料値上げする前に役員報酬の数パーセントの金でセキュリティを堅牢にするってことが出来ないのかねえ？
銀行系でこの失態は恥ずかしすぎるでしょ

弊社会員専用WEBサービスへの不正アクセスにより一部のお客さま情報が不正閲覧された件
http://www.cr.mufg.jp/corporate/info/pdf/2014/140418_01.pdf

>>1
セッションハイジャックか

ネット銀行とかはなんでこの件について、大丈夫ですとか、対策中とかコメント出さないかね

お漏らし記念カキコ
あれだけ法と法されていたのにこれかよ
三菱UFJ関係の銀行は避けよう

>>53
察してということでしょう

WEB会員て、ＷＥＢ明細とかにしてる人のことかな？

あれだけHeartbleedが騒がれたのに、お前ら今更何言ってんの？

ANA　りそな　F

なんか安心したよ。俺たち適当でいいんだ・・・って

ニコスは、何年前だったかな。。一度、個人情報流出事件があった。
そのときのニコスの対応が悪くて、俺はニコスカードを解約した。
その後、ニコスがUFJに合併となったが、体質そのものは変わってないんだなあ。
このカード会社、ホントに信用できませんよ。何かのときのために口座は持っているけど、
ニコスと合併するような銀行とは取引しないって決めているので、通常は1000円しか残高を残さないことにしてる。
ハッカーから狙われている一番危険な銀行だし。

OpenSSLのあのコーディングスタイルは何とかならんのかね〜
読む気も失せるわ

>>10
今回のは制作側の凡ミスみたいだから
対応も楽みたいだぞ

むしろ公表したことを評価すべき
だんまりが1番良くない

>>60
OpenBSDの中の人も怒ってたらしいな。

>>62
怒ってるというか、出来の悪さに呆れてたな。「猿にでも書かせたのか」とまでw

しかし2年間表側の人間は気づかなかったわけで何のためのOpenなのか

オープンにしても誰も読まないってこと。
AppleとかSonyとか技術がない企業はそのままパクるだけだから穴が見つかることもない。

1人多いよ
何やってんの

>>46
うちもCentOS5で助かったw
放置鯖最強伝説

if (hbtype == TLS1_HB_REQUEST)
{
unsigned char *buffer, *bp;
+ unsigned int write_length = 1 /* heartbeat type */ +
+ 2 /* heartbeat length */ +
+ payload + padding;
int r;

+ if (write_length > SSL3_RT_MAX_PLAIN_LENGTH)
+ return 0;
+
/* Allocate memory for the response, size is 1 byte
* message type, plus 2 bytes payload length, plus
* payload, plus padding
*/
- buffer = OPENSSL_malloc(1 + 2 + payload + padding);
+ buffer = OPENSSL_malloc(write_length);
bp = buffer;

HBのサーバー側の処理は単純だから、そんなとこでやらかすとは思っていなかったんじゃない？


バグは下記の2か所の関数で受信パケットの長さをチェックしないでTLS1_HB_REQUESTの
パケットの中の長さの情報（2バイト）でエコーバックするデータをコピーしているのが原因。
たまたま受信パケットの後ろにあった64KB弱のデータが外に漏えいする。
運悪くここにIDとかパスワードなんかがあると、それを使ってログインされる。

ssl/t1_lib.c:　tls1_process_heartbeat(SSL *s)
ssl/d1_both.c:　dtls1_process_heartbeat(SSL *s)

68のパッチはいろいろ間違っている。

>>65
How Apple dodged the Heartbleed bullet
http://appleinsider.com/articles/14/04/18/how-apple-dodged-the-heartbleed-bullet

んなことはない

まだ対策してないサイトとかあるし、11日頃なら大手金融サイトも含めて対策してないところが沢山あったからこれは氷山の一角だね
ゴールデンウィークにかけて盗みとったデータ使って詐欺やハッキングをしていくんだろう

今回の攻撃コード書くなんてちょろいから1日以内に対策しないと、
取引が多いサイトはかなり抜かれるだろうね。

>>72
1日で対策なんて絶対にムリだよ
日本の企業の多くは内部統制ルールで、基幹ソフトの修正は執行責任者の許可が必要になってる
中小企業や個人で構築してるところならともかく、こういう大手企業なら

バグ発覚
↓
ベンダーからの連絡
↓
現場社員が対応策の取り纏め
↓
情報システム部門の責任者への稟議
↓
上席役員への平易な説明資料作成
↓
責任の所在や問題が発生した時の対応策など質疑応答集の作成
↓
部長会などでの報告
↓
ベンダーとの作業日程調整
↓
取締役会での承認
↓
ここでやっと作業に入ることが出来る

上席役員や部長会、取締役会で叱責や疑問が出されれば、その都度ごとにベンダーや担当者員が説明と謝罪

3日間で作業が完了するなら神業だろ、素人の役員はゴールデンウィークに作業しろとか言い出すし

OpensslのHeartbeatの脆弱性ってヒントだけで、ソースコードから脆弱なコードを見つける
のに飯食いながら見ても10分もかからなかった。どう攻撃すればいいのかも分単位でわかるほど
単純だったし、攻撃が容易で、確率的と言っても成功率も良さそうだった。
ここまでの分析で1時間もかからない。

サーバーのお守りやってなくて、よかったと思ったよ。
アクセス頻度が高いサイトとか、扱うものによってはサービス止めた方が良よかったかもね。

なぜ報道少ない？

トレンドマイクロからのアナウンス貼っておくよ
ttp://blog.trendmicro.co.jp/archives/8927

一般ユーザーができる事は、
・一般のユーザは、ご利用のサイトが脆弱性の影響を受けないことを確認した上で、オンラインアカウントのパスワードを変更することを検討して下さい。
・特に金銭に関係するアカウントに関しては、不審な動きがないかを監視して下さい。
・普段からお使いのブラウザが SSL証明書の失効検証を行っているかどうか、設定を確かめてください。

超超超重大な問題なのにほとんどニュースにしない
そして三菱が犯したのがこのザマだよ

報道関係者でちゃんと理解できている人がいないんですお。

特に古舘伊知郎

>>78
ということだよな

こんなやつらがブタエモンに買収されるのいやがったんだもんな

ジャックスも被害にあったんだなんて

>>75
MUFGが詐欺メールによるパスワードの漏洩に注意を
てCMをやたらと流してるのから察してください

ぶっちゃけopensslと関係無い穴をつつかれて適当に誤魔化してるだけじゃね？

この件で直接　info　にmailしたんだけど、今日つーかついさっき回答が来た。
長いんで全文は貼れないが、「　心配すんなks　」　という内容で安心したw（）

そろそろ来月の請求確認しようとカード会社のサイト見ても、ハートブリードのこと何にも書いてないんだな
海外系質問ポイントサイトが15日の時点でパスワード変更の個別メール送ってきてたから、
金融系は当然明記してるものと思ってた
俺が使ってる中ではSBIだけだわ表記があるのは
問合せめんどいなー

ふざけんなよ、業務システムをオープンソースで組むなよ。

オープンソースで組んで欠陥があった限りは、全額賠償しろ！！！！！！！！！！！！

死ね！！！！！！！！！！！！！！！！！！

しかしさ


こういうの謝罪だけで免罪されるって風潮おかしくね？

だったらサーバ屋は雑な仕事してもいいことになるし
運用も「もれたら謝ればいいや」になるだろ


懲罰的賠償とユーザへの慰謝料の支払いは義務化しろよ

Linuxでクレジットカードのシステム作ってるバカ会社。

>>55
知らない馬鹿に無駄に知らせて騒ぎが大きくなることを嫌がる
旧来からの悪しき風習以外の何物でも無いだろう。

待て待て待て待て、ポイント度外視堅実なカードのつもりで使っていたのに

安カロー悪カロー
OpenSSLのコードは猿が書いたのか？とかこっ酷く言われてるの発見ｗ

中小企業ならまだしも、大手のクレジット企業でこんな物を使ってるとは…

>>80
最底辺の虚業屋が買収したって、悪くなることはあっても良くなる
可能性はゼロだから。

盗まれるまで放置かよｗ

>>91
三周ぐらい話題から遅れている気がする。。。

>>93
おまえ株式板にいるだろｗ