Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

産総研のネット遮断1ヶ月から見えてくること

考えてみた。 不正アクセス事件

読売新聞の3月15日記事に産総研不正アクセス事件についての続報がありました。

www.yomiuri.co.jp

産業技術総合研究所産総研)が不正アクセスを受けた事件は2月13日に公式リリースが出されています。読売新聞の記事を受けて、改めて産総研のHPを確認してみたのですが・・・事件の影響範囲等については、(この記事を書いている3/18現在で)未だ追加発表がありません

 

f:id:foxcafelate:20180318105213j:plain

産業研 お知らせ

 

弊所の情報セキュリティ規程第20条に基づき情報セキュリティ対策本部を設置、外部の専門事業者にも依頼して原因究明を進めているところです。

産総研2/13リリース内容より引用)

 

とあるので、外部のセキュリティベンダーによる、デジタルフォレンジックスの調査レポートを待っている最中、あるいはレポートは既に出ていて、その対応を内部で協議中という段階なのかなと推測します。(※注:本格的なフォレンジック調査であれば1ヶ月以上かかる事もあるかと思います)

 

官房長官が記者の質問に答えたところが、この読売記事に繋がっているようです。3/15午後の定例記者会見の最後(5分40秒辺り~)に菅 官房長官の答弁がありました。

www.kantei.go.jp

 政府は今回の件についてどう把握されているか?

 

 まず、現在のご指摘でありますけど、2月6日に外部からの不正アクセスを確認し、関係機関と連携しながら調査中をすすめていると聞いております。

 被害拡大防止のために、インターネット接続停止等の措置を講じさせておりましたが、安全性が確保できた業務システムから再開をさせており、インターネットの接続再開にも目処が立っているという風に報告を受けております。

 また本事案を踏まえて、内閣セキュリティサイバーセンター、いわゆるNISCが主要な国立研究開発法人に対する同様な不正アクセス事案がないかという事の調査を実施しており、これまでのところは問題はみつかってない、という様な報告を受けております。 

 いずれにせよサイバーセキュリティの脅威は飛躍的に高まっているとの認識をしており、政府としてもしっかりと対応していきたい、こういう風に思います」

 

とは言え、事件調査や1ヶ月以上もネットを止めている事については、内部からはかなり不満が出ている様子で、読売新聞の記事にもそれを伺いしれる部分がありました。

 

報道室によると、不正アクセスは2月6日にあり、すぐに業務システムを停止。経費精算など安全が確認できた部分から順次再開しているが、ネット接続は遮断したままという。「今月中には再開させたい不正アクセス元や情報流出の有無は調査中」としている。

 国内外の研究成果を調べる論文検索や研究者同士のネット会議ができなくなっており、男性研究者の一人は「接続できず困っている。(国の研究機関として)恥ずかしい限りだ」と憤る。

(読売新聞記事より引用)

 

フォレンジック調査についても、取材に対しての報道室の答えが不正アクセス元や情報流出の有無は調査中という答え方については、疑問が残ります。今の段階ではいえないという含みでこの回答をしているのなら仕方が無い部分もありそうですが、1ヶ月も調べれば、断定できないまでも情報流出があったかどうかについては分かるはずです

1ヶ月以上経っても「調査中」という産総研の回答や、それを更に「調査結果が出るのはいつか?」と突っ込まないマスコミサイドも、税金が使われている日本を代表する研究機関で発生した不正アクセス事件への応対では無いのではないかと思います。

 

産総研の公式発表待ち、という段階ではありますが、某巨大掲示板サイトには内部の方々と思わしき書込みが多数載っていましたので、そちらを俯瞰して書込み内容を(加工して)まとめてみました。

※下記某掲示板情報に対する信頼性は保障できるものではありませんので参考程度に・・

 

◆事件に関する原因

  • 人口知能部門の職員がフィッシングメールにひっかかった(2月中旬)
  • 入所したばかりの海外研究者(2月中旬)
  • フィッシングメールにひっかかったアホがいた。フィッシングで盗まれたIDが悪用されて不正アクセスを受けた(3月初旬)
  • 完全に防げないのだから、破られた後の対策も考えておくべきだった(3月中旬)
  • 入札制度が安かろう悪かろうに繋がっている。システムへの初期投資はケチるべきでなかった(3月中旬)

 

◆事件後のネット切断に対する内部不満

  • 所外メール見れない送れない。Onedrive使えない。所内イントラも使えない(2月中旬)
  • イントラと情報基盤部の管理能力が信じられない(2月下旬)
  • イントラに入れないのに早急な出勤簿入力を求められた(2月下旬)
  • イントラ使用不可と言いながら業務連絡を掲示板に掲載(2月下旬)
  • 通信手段が電話とFAX(2月下旬)
  • 事件について何も説明されてない(2月下旬)
  • 来週ネット接続再開、でもメール読むために毎回2段階認証とかキチガイ(3月中旬)

 

◆事件後の対策に対する内部不満

  • 情報基盤部は、ネット接続が無い環境下でプリンタ、NAS、サーバ等のファームウェアアップデートを要求(2月下旬)
  • 今日の仕事はWindowsUpdateで終了(2月下旬)
  • 情報基盤部は非常に前例にこだわり情報セキュリティ規定を振りかざし情報を隠蔽し、初動を間違えて被害を拡大させた(2月下旬)
  • 情報基盤部に専門家が必要。2-3年任期の事務や出向者で回すのは無理(2月下旬)
  • Windowsが原因だったのなら、いっそ使用禁止ソフトウェアに指定したらどうか(3月初旬)
  • 民間なら当たり前のセキュリティ対策をやってないのは、国を代表しない研究所だからではないか(3月初旬)
  • フィッシングメールが原因でプリンタのファームを上げる必要があるのか?(3月初旬)
  • プリンタが踏み台だったとしても、全員のパスワード変更が必要な事態だったのか?(3月初旬)
  • 不正アクセスはインシデントかも知れないが、その後の顛末は専門知識もないネットワーク担当の起こした人災(3月中旬)
  • 先週の固定IP調査の必要性は?(3月中旬)
  • ルータのウィルススキャン結果を「未」で出したら「完了したら報告しろ」メールがきた(3月中旬)

 

◆事件の影響範囲

  • 情報漏えいがあったのか、漏えいしていた場合は技術や特許等の秘密情報なのか明らかにする義務があるのではないか(3月初旬)
  • 担当理事が(既に情報漏えいが判明して)関係企業へ謝罪行脚中だから発表されないのではないか(3月初旬)
  • 産総研の最大の機密は「大した研究をやってない事」(3月中旬)

 

◆キタきつねの所感

某巨大掲示板に書き込まれた(内部)情報を俯瞰する限り、産総研のインシデント対応や対応組織は非常に問題があったと思われます。感覚的には事務系とトップだけで影響範囲も考えずに「ネット遮断」を決めてしまい、その後のフォローもしてない事が分かります。内部からは当然・・・不満の声が上がり、こうした掲示板に内部リークされてしまうのかなと思います。

産総研にはネットセキュリティ専門の研究者も多数在籍していたと思うのですが、少なくても初動においてはその方々が有効に活用された気配を感じません。こうした事態が発生した際は組織のトップはCSIRTのような「緊急対応チーム」を構成するべきだと思います。

勿論、産総研がこの対応をしてなかった訳ではありません。

2月7日

重大なセキュリティインシデントであると判断し、副理事長の下に情報セキュリティ対策本部を設置 

産総研2/13公式発表より引用)

とあるので、緊急チームは作られたよう・・・ですが、集められたメンバーが事件とはアンマッチだったのではないかと推測します。縦割り組織では、サイバー攻撃フィッシングメールによる攻撃が想定外な事が多いのですが、当初のネット遮断が対応として正しかったとしても・・・1ヶ月の間に、モバイルルータを配布したり、別なCloudサービスで代行運用したり・・・あるいはソニーピクチャーズが攻撃を受けた際に行ったように、Windows端末を(当面)あきらめて、Mac端末を買ってきて業務を継続する・・・そんな対応もありえたかも知れません。

緊急チームに技術担当(名目上の担当ではなく、技術をよく知っている方)を入れてないのも、内部混乱を拡大させた要因となったようです。フィッシングメール攻撃を受けた場合、アンチウィルスソフト、メールソフト、Windowsのパッチ当てを優先するのが普通ではありますが、それを越えて、ネット環境が無い中ではダウンロードできないプリンタやルータのファームウェア更新を要求する大本営”は非難されてしかるべきだと思います。

一部書込みにありましたが、外部でパッチファイルを(私的に)ダウンロードして、それをプリンタやルータに当てろというのか!という書込みは、個人にパッチ当てを押し付ける、その過程で外部から更にウィルスを持込まれてしまうBYODの持つ可能性を含んでいる訳であり、それすらも理解しない「最新パッチ当てさせとけば良い」通達に対する諦めにも似た怒りを感じました。

事後の結果論にはなってしまいますが、どこまでパッチ適用範囲とさせるか、業務を回復するためにはどういった追加対策が必要か・・・等々、「情報セキュリティ対策本部」が考えるべきであった事項が考えられずに、普通のセキュリティ対応を(その影響も考えずに)組織全体に課した可能性が高いようです。

 

読売新聞の記事では、

ネット遮断1か月続く「恥ずかしい」

とされていますが、未だに原因究明が終わらず、1ヶ月以上かかってネット遮断が復帰できてない事に対する責任感が感じられない産総研の上層部(情報セキュリティ対策本部)が「恥ずかしい」と、そろそろ気づくべきではないでしょうか。サイバーセキュリティの脅威は飛躍的に高まっているとの認識」は政府だけでなく、産総研の上層部の方々も持って頂きたいものです。

 

 

参考:

foxsecurity.hatenablog.com

インターネットがつながらない人のイラスト

更新履歴

  • 2018年3月18日PM(予約投稿)