• Data Privacy Day Japan

DPD コラム

サイバー攻撃はこうして防ぐ!今やるべき漏えい対策

2018年2月6日に明らかになった国立研究開発法人 産業技術総合研究所(以下:産総研と呼称)への不正アクセス事件ついて、産総研は2018年7月20日に報告書を公表した。
 
今回はこの報告書を紐解きながら、漏えい事件に繋がった原因と、事件を未然に防ぐための対策方法を考えたい。
 
事件の概要
 
本件は、2017 年10 月27 日から2018 年2 月10 日の間、産総研の情報システムが、継続的に外部から不正なアクセスを受け、クラウドサービスを利用するメールシステム及び独自に構築する内部システムの双方に順次侵入されたものであった。産総研が本事案を認知したのが同年2 月6 日であったため、その時までに広範にわたる被害が生じていた。
主な被害、侵入者による不正行為は以下のとおり。
 
・143 名の職員アカウントの窃取(電子メール及び添付文書等の外部へ漏えい又は閲覧された可能性を含む)
・パスワード試行攻撃によるパスワード探知
・職員のID・パスワードを用いた内部システムへの不正侵入
・内部サーバの踏み台化
 
これらの攻撃によって以下の情報が漏えいした(閲覧含む)ことが確認されている。
 
・共同研究契約等に関する情報208件
・企業・他機関との共同研究等の情報 117件
・上記に含まれない未公表の研究情報 3件
・採用関係書類 204件
・学会・イベント等の参加者名簿 165件
・所内業務用の連絡先等 4337件
・メールアカウント 143件
 
この不正アクセスが開始されてから発覚までに数ヶ月を要したため、非常に多岐にわたる情報が漏えいしてしまっている。
 
特に重要と思われるものは、「企業・他機関との共同研究等の情報117件」であり、悪用や流用されるようなことがあれば、研究を行っていた企業・機関に影響を与えることは間違いない。
一方、漏えいした情報について、産総研側は
・知的財産権の獲得に影響する情報は含まれていない。
・企業・他機関との共同研究等の情報については、第三者が転用できない又は転用の可能性が低い情報等、いずれも今後の研究に支障のない情報のみである。
とコメントしているが、これはあくまで産総研側の見解であることには注意が必要だ。
 
被害に遭った原因について
 
情報セキュリティインシデントはさまざまな要因が重なって起きる。
今回の場合も例外でなく、多数の要因が重なって起きているが、それらをひとつずつ見ていくことで、被害に遭わないための方法を見つけることができる。
ここでは大きな問題といえる事項を5つのポイントに絞って、分析と対策を考えたい。
 
1. 研究部門の一つである「X研究センター」が保有する、外部レンタルサーバ内の研究用のウェブサイトから、内部システムのOSを操作することができる脆弱性があった。
 
2. 従業者のメールアカウントに対して、不正にログインを試みる攻撃を感知していながら「攻撃は失敗した」と結論付けた。しかし実際には侵入を許していた。
 
3. 情報機器のセキュリティ対策は、原則として各研究部門の責任において実施することとなっていた。
 
4. 内部ネットワークが広域でフラットな構成であり、研究用ネットワークと、業務用ネットワークとが切り離されていなかった。
 
5. 外部委託事業者を管理できていなかった。
 
1.OSコマンドインジェクション攻撃に対する脆弱性
状況
今回最も大きな問題点は、内部サーバに対して、外部からアクセスする方法が存在したことだった。
X研究センターと仮称される研究センターの保有する、ソフトウェア開発用のウェブサイトから、「X研究センターのサーバ」に対しOSコマンドインジェクション攻撃が行われ、「X研究センターのサーバ」が踏み台化された。さらにその「X研究センターのサーバ」から、「使用電力量モニタサーバ」「ネットワーク監視用サーバ」を踏み台化され、基幹システムの内部サーバやファイルサーバ、NASへのアクセスを許していた。
 
原因と分析
この問題はX研究センターにおいて、研究用の外部ウェブサイトが内部のサーバに直接アクセス可能な状態になっていることへのリスクを把握していなかったことに尽きる。
通常内部サーバは外部と切り離して独立させることが一般的であるが、X研究センターにおいてはそのことを意識したシステム設計が行われておらず、また、そのことを産総研のセキュリティ管理部門が把握していなかった。いくら情報セキュリティマネジメントシステムが存在していても、運用する人間に知識や技術がなければ何の役にも立たないわけであり、研究者2300名、約50の研究部門を擁する組織であるのであれば、各研究部門において、最低でも1名~数名のセキュリティの専門家を置くことは必要であった。実際に各部門においてセキュリティに関する専門知識を持った人間がいれば、今回のように、外部から内部サーバにアクセス可能なシステム仕様にはしていなかっただろう。
 
2.見逃された不正アクセスの痕跡
状況
委託先のセキュリティベンダーから、「従業者のメールアカウントに不正にログインを試みる攻撃が行われたが、攻撃は失敗した。」との報告を受けたが、失敗したと聞き安心したのか、対策をとらなかった。しかしこのとき既に100以上のアカウントに侵入されており、情報を窃取されていた。
 
原因と分析
ここでは2つの問題が起きている。第一に、委託事業者の報告が不正確であったということ。第二に、報告を受けたCISOが「問題なし」として対策をとらなかったことである。
委託先事業者の問題については、”5.”で取り上げるとして、ここではCISOの判断について論じる。
今回の報告は「職員のメールアカウントに対して、実在するアカウントを使用した不正ログインが試みられた。」というものであったが、通常実在するアカウントに対する攻撃があった場合、そのまま放置することはありえない。それは、実在するアカウントに対して同時多発的に攻撃が行われれば「すでにどこかからアカウント情報が漏れている可能性がある」と考えるべきだからだ。
ましてや産総研が導入したクラウドメールシステムは、ユーザが自分でアカウント名を決められる形式のものだ。つまりアカウント名は攻撃者が総当り的に入力しても、そうそう当たるものではない。それがある日を境に急激に不正アクセスが増えたのであれば、報告を受けてすぐに対策を行うべきであったのである。
ちなみにこの段階で不正アクセスを防ぎ、攻撃に対する対策をとり始めていれば、その後の内部サーバへの不正アクセスも防げた可能性がある。
 
3.個人の判断にゆだねられたセキュリティレベル
状況
本来なら組織として、情報セキュリティ機器に関する方針をきちんと定め、脆弱性が危惧されていたNASの使用を控えるという選択ができたはずであった。しかし機器の使用などは部門ごとに判断を任されており、結果として使用していたNASの脆弱性を突かれ、マルウェアの設置や情報窃取の被害に遭った。
 
原因と分析
今回の事件では、このように各研究部門に判断を委ねる部分が多かったことが、問題を大きくしているといっても過言ではない。
産総研では各研究部門でそれぞれ情報セキュリティ体制を構築していたが、その担当者や責任者は必ずしも情報セキュリティに関する知見や問題意識が高いとは言えない状態であった。つまり、セキュリティに詳しくない人間がセキュリティ責任者を担当しているケースが散見されたのだ。
 
4.広域でフラットな内部ネットワーク構成
状況
内部ネットワークが広域でフラットな構成であり、研究用ネットワークと、業務用ネットワークとが切り離されていなかったため、内部ネットワーク内であれば、どのサーバへも到達可能な状態にあった。
 
原因と分析
内部ネットワークが役割ごとに独立しておらず、一箇所でも侵入を許してしまえば、他の情報機器に容易にアクセスが可能であったという仕様が被害を拡大させている。
このような仕様は、外部からの攻撃に対する脆弱性となるだけでなく、内部の人間であれば、すべての情報にアクセスできる可能性があるということになり、内部不正を起こしやすくするばかりか、内部不正が行われた場合、調査対象がすべての従業者となってしまい、漏えい者の特定を遅らせたり、特定を難しくしたりしてしまうことに繋がる可能性がある。
 
5.情報セキュリティレベルを把握できていない委託先の存在
状況
外部委託先の情報セキュリティのレベルを十分把握できていなかったことから、実力の不十分なセキュリティ業社へ業務を委託し、不正アクセス攻撃や、不正ログインに気がつかなかった。
 
原因と分析
外部委託業者に対しては、産総研の情報セキュリティポリシーを遵守するよう、契約における仕様書で
定めていたが、委託先の選定においては、最低落札価格方式の競争入札を行っているため、委託先の情報セキュリティ対策や能力等を十分に評価していなかった。そして一部の外部委託業者のサーバについては、十分なセキュリティ対策が講じられていなかった。
また、産総研では、外部委託業者の情報セキュリティ対策の履行状況を定期的に確認することとなっていたが、本事案で問題となった一部の外部委託業者については未実施であった。
さらに、外部委託業者に対する監査を行っておらず、また監査の必要性についても検討していなかった。
これらの事象が重なり、”2.”で取り上げたような問題のある委託先に対する監査を十分に行えていなかった。
 
今回の攻撃を防ぐために必要であったこと
今回の産総研の不正アクセス事件において、攻撃を防ぐために必要だったこと、それは実務担当者への情報セキュリティ教育を徹底することであったことは明白だ。
 
今回の不正アクセスは、いくつかの要因が重なったことによって発生したことがわかっているが、どの要因においても、実務担当者のセキュリティリテラシーが高ければ起きていない問題であっただろう。
 
つまり、最低限「CISO」・「統括情報セキュリティ責任者」・「各部門の情報セキュリティ責任者」が実務レベルのセキュリティ技能を持っていれば、このインシデントは起きていなかったといえる。
 
情報セキュリティ責任者に必要な技能とは
 
では、情報セキュリティ責任者に求められる能力とは何か。
これは一言で言えば各部門との“橋渡し人材”としての能力である。“橋渡し人材”とはセキュリティに関わるすべての部門をつなぐ役割で、情報セキュリティに関わる社内のすべての部門が均一にセキュリティコンプライアンスを遵守し、連携して企業の情報資産を守る体制を整えることができるよう、各部門をつなぎ、連携をとることができる人材である。
 
企業は自社の情報資産を守るため、“橋渡し人材”となるセキュリティプロフェッショナルの育成を急ぐべきだ。
 
参考:「産総研の情報システムに対する不正なアクセスに関する報告」について