我們閱讀真實、公開的資安事故,不是把新聞重播一遍,而是以 「你要如何防禦這種狀況?」 的視角來讀。本文以 公開記錄(企業聲明、監管機關、可信報導) 為依據。出處列於文末;不含任何攻擊教學,也不含任何個人的可識別細節。
- 目標
- 某教育服務的客戶資料(姓名、地址、出生年月日、電話號碼等)
- 發覺
- 2014 年 6~7 月(因其他公司的垃圾郵件寄達客戶而浮現;7 月 9 日公開)
- 手法
- 內部濫用,由外包集團公司的一名派遣工程師所為:正當的資料庫存取 → 大量抽出 → 傳輸到私人智慧型手機 → 賣給名冊業者
- 規模
- 高達約 3,504 萬筆(當時日本最大規模的個資外洩之一)
- 根本原因
- 內部人員的過度權限 + 外流路徑的漏洞(USB 被封鎖,但智慧型手機/MTP 沒有)+ 對大量存取的薄弱偵測 + 對承包商/再承包商的薄弱監督
- 真正的解方
- 最小權限/need-to-know;封閉每一條外流路徑的 DLP;針對大量存取的偵測+稽核記錄;對承包商與再承包商的管理與監督
發生了什麼(用白話說)
多數資安控制假設攻擊來自外部。但在這裡把資料帶走的人,是一名 擁有正當取得存取權的內部人員。Benesse 把客戶資料庫的維運與維護外包給了一家 集團公司(承包商),而在那裡工作的一名 派遣系統工程師,用為了工作而授予的存取權大量抽出了客戶資料。
決定性的漏洞在於 外流路徑。企業的資料外流控制往往做到「封鎖對 USB 儲存裝置的寫入」為止,但 傳輸到智慧型手機(一種稱為 MTP 的方式) 卻很容易被忽略。此處也一樣,USB 寫入被封鎖了,然而 傳輸到私人智慧型手機卻長驅直入。 抽出的資料被賣給 名冊業者 並進一步擴散。這不是從外面攻破——而是 一起正當權限撞上被遺忘路徑的內部作案。
內部人員擋不住『外牆』
防火牆與入侵偵測針對的是從外部而來的攻擊。但 擁有正當權限的內部人員 早已在那道牆的內側。所以防禦內部濫用需要另一個軸線——把權限收到最小、在每一條路徑上封閉外流、偵測大量存取,並把監督延伸到承包商。「我們信任這個人」不是可以略過把權限收窄的理由。
攻擊鏈同時也是一張防禦地圖
這是一條 每一步都有辦法阻止 的鏈。請把它讀成 它本可以在哪裡被打斷,而不是一份操作教學。
1. 內部人員的過度權限
正當的存取觸及了遠超所需的客戶資料。
攔截:最小權限/need-to-know;職務分離;定期存取複核
2. 大量資料被帶到私人裝置
USB 被封鎖了,但智慧型手機傳輸(MTP)沒有。
攔截:封閉每一條路徑的 DLP(USB/智慧型手機-MTP/雲端/列印);偵測大量匯出
3. 承包商/再承包商處的盲點
維運被外包出去,因此對實際作業的監督很薄弱。
攔截:對承包商/再承包商的可視化;契約+技術控制並行;稽核
4. 賣給名冊業者、進一步擴散
抽出的資料被賣掉,以難以追蹤的方式擴散開來。
攔截:記錄監控與早期偵測;從設計上就讓大量外流不可能發生
公開的時間軸
2014-06
客戶開始收到其他公司的直效郵件;懷疑外洩的詢問激增。2014-07-09
Benesse 公開外洩事件(起初描述為最多約 2,070 萬筆可能受影響)。2014-07-17
東京警方逮捕該外包集團公司的派遣系統工程師;報導稱他承認抽出資料並賣給業者。2014-09-10
外洩量被認定為高達約 3,504 萬筆。Benesse 宣布為受影響客戶提供禮券(¥500),以及約 200 億日圓規模的補償/防範計畫。2014–2015
經營層承擔責任;METI 發出改善命令。本案成為日本個資保護法修訂(強化對名冊業者的規範)的推動因素之一。2016
該名前派遣人員被判有罪(徒刑與罰金)。
根本原因是層層防線同時失守,而非一人的惡意
把這件事草草歸結為「有個壞人」,只會招來重演。實際上 多道原本要阻止內部濫用的防線,同時都很薄弱。
失守的配置
- 承包商的員工擁有觸及 遠超所需資料 的存取權
- 外流控制存在 漏洞(USB 被封鎖,智慧型手機/MTP 敞開)
- 對大量檢視與匯出的 偵測/告警 很薄弱
- 監督幾乎觸及不到 承包商/再承包商 的實態
守得住的配置
- 最小權限/need-to-know 把可觸及的資料限縮到所需範圍
- 封閉每一條路徑的 DLP(USB/智慧型手機/雲端/列印)
- 對大量存取/匯出的 偵測與告警,外加稽核記錄
- 對承包商與再承包商的 可視化與稽核(契約+技術並行)
事後的帳單遠遠大於事前的設計投資
Benesse 補償了受影響的客戶(禮券;約 200 億日圓規模的提列),經營層承擔了責任,監管機關發出了命令。本案也協助推動了 日本個資保護法的修訂。 失去信任、補償與監管回應的成本,遠遠超過事前的投資——把權限收窄、把路徑封閉的投資。請依你所持有的個資量來設計內部控制——在事故 發生之前,而非之後。
你要如何防禦這種狀況
無論你把外部攻擊防得多硬,擁有正當權限的內部人員 都在牆的內側。以下按優先順序,且適用於任何規模:
把權限收到最小(最小權限/need-to-know)
包含維運人員與承包商在內,把對正式資料的存取收窄到 業務所需的最小限度。設計好 授權(誰可以存取什麼),並把 最小權限的原則 廣泛套用到金鑰與帳號上。定期複核權限。
封閉每一條外流路徑(DLP)
不只是 USB 儲存裝置——也要盤點並封閉 智慧型手機傳輸(MTP)、雲端上傳、電子郵件附件與列印。別滿足於「我們封鎖了 USB」。只要留下任何一條路徑敞開,那就會變成漏洞。
偵測大量存取與大量外流
標記「一個人在短時間內檢視/匯出了大量客戶資料」,並能做到 告警、要求核准或暫停。保留 誰在何時存取了多少 的稽核記錄。即使無法阻止,縮短察覺所需的時間也能減少損失。
把監督延伸到承包商與再承包商
外包不是責任的轉移。弄清楚再承包的範圍與實態,並用契約(保密、稽核權)與技術(權限、DLP、記錄)兩者一起管理。把你的 組織安全底線 也套用到承包商身上。
這與本站如何構築的地方相互呼應
歸根結底,這起事件讓一名擁有正當權限的內部人員 經由一條被遺忘的外流路徑,觸及了遠超所需的資料。 這正是本站自身原則的鏡像——最小權限、把爆炸半徑收到最小,以及在假設每一條路徑都存在的前提下防禦。 只提防外部攻擊,卻忽略 存取控制 與內部外流,同一個漏洞就會敞開。「把權限收窄、封閉每一條路徑、偵測大量存取,並觸及你的承包商」是任何人在任何規模都能落實的防禦。
出處(公開記錄)
此處的事實以下列公開資訊為依據。不含任何攻擊教學,也不含任何個人的可識別細節——只有 防禦上的教訓。
- Benesse Holdings/Benesse Corporation 官方聲明(關於個資外洩的公告/客戶中心,2014~)— benesse.co.jp
- 日本 METI,關於個資保護回應的公開資訊(2014)— meti.go.jp
- 個人情報保護委員會(及其前身機構),相關資料與修訂保護法的討論(2014–2015)— ppc.go.jp
延伸閱讀
- 實務:中型到大型組織的安全底線(團隊規模的基礎——也套用到承包商身上)
- 實務:SSH 金鑰的最小權限(最小權限原則的實例)· 身分驗證與授權的差別
- 詞彙:IDOR 是什麼(存取控制的破口——讀取超出你權限的資料)
FAQ
QBenesse 事件的根本原因是什麼?
不是外部攻擊,而是內部人員。外包集團公司的一名派遣系統工程師,用正當取得的資料庫存取權大量複製了客戶資料。監控軟體封鎖了對 USB 儲存裝置的寫入,卻沒有封鎖到私人智慧型手機的傳輸(MTP)。過度的權限、外流路徑的漏洞,以及對承包商/再承包商的薄弱監督,全部疊在一起。
Q只要防住外部攻擊,是不是就沒事了?
不是。這是一名擁有正當存取權的內部人員。防火牆與入侵偵測針對的是從外部而來的攻擊;內部濫用需要另一個軸線:(1)把權限收到最小(最小權限/need-to-know);(2)偵測大量檢視/匯出;(3)封閉每一條外流路徑;(4)把監督延伸到承包商與再承包商。這四點才是真正的解方。
Q較小的組織或個人專案能從中學到什麼嗎?
能:(1)不要給維運人員或承包商對正式資料過於寬鬆的存取權;(2)盤點並封閉每一條能把資料複製出去的路徑(USB、智慧型手機、雲端、列印);(3)保留誰存取了多少的記錄,並對大量存取發出告警;(4)弄清楚外包與再承包的範圍與實態。團隊越小,越容易掉進『我們信任他們』而從不把權限收窄的陷阱。