産総研が7月20日に、2月6日に判明した外部からの不正アクセス事件についての報告(最終報告)を出していました。結果から言えば、懸念していた通り、個人情報や知財権を漏えいしていました。(※機密性3情報では無いと産総研は発表していますが、未公表の研究情報を含むので一般的に言えば重要機密が漏洩したと考えるのが妥当だと思います)
■公式発表
産総研:「産総研の情報システムに対する不正なアクセスに関する報告」について
■事件の状況 ※報告書から抜粋
【メールシステムへの不正なアクセス】
- 1次攻撃(2017年10月27日~12月末)ではIDとパスワードの両方が検索された。11月以降は職員のIDを特定した上でパスワード試行攻撃を受ける
- 2次攻撃(2018年1月23日以降)は、職員の認証用データベース(LDAPサーバ)への不正検索を受ける
【内部システムへの不正なアクセス】
- [第1ステップ] 外部のレンタルサーバ上に設置していた研究用のWebサイトを通じて内部のOSを遠隔操作。マルウェアを内部サーバに置き、このサーバを踏み台化
- [第2ステップ] 踏み台サーバを介して、管理用ネットワーク内のサーバに接続し、外部から遠隔操作
- [第3ステップ] 管理用ネットワーク内になった他のサーバより職員のアカウント情報を窃取
■被害を発生・拡大させた要因(脆弱性)
①システム・機器の問題
- メールシステムのログイン方法
- 内部サーバと連携していた外部サイト
- 広域でフラットな内部ネットワーク
- アクセス制限のなかった管理用ネットワークのサーバ
- 情報機器の脆弱性
②パスワード・暗号鍵の管理と強度の問題
③外部委託業者の管理の問題
④マネジメントの課題
■再発防止策
・多要素認証の導入
メールシステム及び内部システムのログインに多要素認証を導入する
・内部ネットワークの分離と監視強化
研究用ネットワークと業務用ネットワークを分離する
・パスワードの設定方法等の運用ルールの見直し
有効なパスワードの設定方法や、重要情報の管理、情報端末の管理等について運用ルールを見直し、
職員に周知徹底する
・外部委託の運用改善
最低価格落札方式から総合評価落札方式へ切替え、能力の高い業者を選定すると共に、
一括契約によって外部委託事業者の数を減らす
・組織体制の見直し
CISOの下に情報情報セキュリティ対策部署を明確に位置づけて、不正なアクセスへの対策を強化
するとともに、各研究部門にセキュリティチームを設置しCSIRTとの連携によって
情報セキュリティリスクの低減を図る
・事業継続計画の見直し
情報セキュリティインシデントの深刻度に応じた事業継続計画及び緊急時対応計画を立案する
◆キタきつねの所感
かなり読み応えのある報告書です。このページ数、報告内容に関しては流石、産総研というべきかも知れません。
一般的な事故報告書については、重要な部分をそぎ落とした形で、上っ面だけ「不正アクセス」「Webサーバの脆弱性」という言葉を書き連ねたものが多いのですが、色々と考えるセキュリティ教材(ケーススタディ)としても使えそうな内容となっています。
※因みに、今回の報告書以外で、私がセキュリティ担当者が読むべきであろうと思う報告書(ケーススタディ)は、以下の3つです。
■日本年金機構 検証報告書
■GMO PG 不正アクセスによる情報流出に関する調査報告書
■九州商船 Web予約サービス不正アクセスに関する調査報告書(解析編)
報告書を読んで、まず見たかったのが、侵入経路の部分ですが、「報告書 5.1不正なアクセスの概要」を見ると、
- 本事案では、いわゆる標的型メール攻撃により端末をマルウェア感染させる手口ではなく、「ID・パスワードを用いて、外部から直接、あるいは内部システムの踏み台を通じて不正ログインする」という方法が用いられた。脆弱性を突く攻撃も一部はあったものの、主にパスワードを次々と入手又は推定・復元する手法にて内部システムの奥へと侵入した。
と書かれています。多くの会員を持つSNSや会員サイトでパスワードの使いまわしを突かれて不正アクセスを受けた事件がありますが、一般的な攻撃手法としては同じだと思います。「報告書5.2 不正なアクセスの経緯」を見ると、実は総当たり攻撃(ブルートフォース攻撃)を外部委託業者が検知していた事が分かります。ただし、その報告は、
パスワードを試行する攻撃は 12 月 13 日まで続き、認証サーバに不具合が発生した。この間 2 回、外部委託業者から「産総研にブルートフォース攻撃(パスワード試行攻撃の一種)が行われている。ただし、攻撃は全て失敗している。」旨の報告があった
となっており、12月末までの時点で100名近くの不正ログインを許していた事が報告書から伺える。ここで産総研(及び外部委託業者)が、攻撃が全て失敗している、、という誤った情報を過信せずに、不正ログイン試行が多くなってきた事で調査・監視強化を行っていれば、初期段階での不審者検知ができていた可能性は高い気がします。
ログイン監視体制も疑問が残ります。何故、外部委託業者は「全て失敗した」と判断したのでしょうか?推測の域を出ませんが、ログインの失敗しかログを見てなかったのではないでしょうか?詳細ログが取れているのであれば、成功したログイン試行と失敗したログイン試行におけるIPアドレスが同じであった可能性が高いと思います。
ログイン試行の成功は、当該ユーザがパスワードの使いまわしをしていた際には、実は1発で通ってしまう可能性があります。又は、逆総当たり攻撃(リバースブルートフォース攻撃)であった可能性も考えられます。この攻撃の場合、より慎重にログを見ないと攻撃の形跡は掴みづらいかも知れません。いずれにせよ、明らかにログイン失敗回数が増えていたり、怪しげなIPから試行リクエストが来ている、といった特徴が残っていたと思いますので、やはり・・外部委託会社の監視能力があるべき水準になかったのではないでしょうか?
それは、産総合研のセキュリティ担当者も同じかも知れません。勘のよい担当であれば、12月の時点で業者に対して初期調査を指示できた気がします。
とは言え、「報告書 5.1不正なアクセスの概要」には、そうした判断をしてしまったであろう原因も記載されていました。
10 月 28 日から 11 月 2 日にかけて、産総研が保有する IP アドレスの全域に対してポートスキャンがあり、これにより、外部からの所内システムの利用の際に用いる VPN の接続口を発見され、11 月 1 日から 3日にかけてメールシステムのアカウントの一部を用いて不正接続が試みられていた。しかし、VPN サーバではワンタイムパスワード生成トークンによる二要素認証を実施していたことにより、侵入に失敗していた。その他には基本的に外部から接続できる IP アドレスは存在しないため、外部から直接侵入する方法はなかった。
VPN接続口に対する攻撃が失敗していた、そして外部から侵入できるIPアドレスがそこしか無い・・・はずだった為、油断してしまったと言う事なのでしょう。でも侵入口が別に存在したのです。
12 月 15 日、侵入者は X 研究センターが外部レンタルサーバと連携している内部サーバを踏み台化し、これを通じて内部システムへ侵入した
裏口は存在し、外部レンタルサーバは内部につながっていた。
とても分かりやすいストーリーになってきました。某巨大掲示板にはX研究センターらしき組織名も以前出ていた気がしますが、原因となったX研究所は、一般的な会社組織であれば「お取り潰し」となるべき対象かも知れません。
また、外部接続の許可を与えたのが一般的な会社組織と同様に、産総研のセキュリティ部門(CISO含)であるならば、そちらも同罪と言えるかも知れません。
研究用途とは言え、
①踏み台にされて気づいてない(監視されてない)
②OSのパッチ当てが不十分だった(推測)
③管理者ID/パスが漏えいした(脆弱だった)
状態だったと思われます。それが伺い知れるのが「報告書 5.3.3 内部ネットワークへの侵入」部分です。
5.3.3 内部ネットワークへの侵入
・X 研究センターが、外部のレンタルサーバに設置していた「ソフトウェア開発作業用 Web サイト(以下「J サイト」という。)」に対して、12 月 15 日に不正ログインがあった。(J サイトは、内部ネットワークに置かれたソフトウェア開発用の複数の OS を遠隔操作する機能をもっており、OS 上の任意のコマンドを実行できる仕組みを有していた。)
・侵入者は、何らかの手法で J サイトの ID・パスワードを特定し、研究の作業用に設定していたアカウントに、1 月 30 日まで継続的に不正ログインした。
・侵入者は、J サイトに不正ログインし、内部ネットワークの 2 台の仮想マシン(内部サーバ)を遠隔操作した。
・X 研究センターの 4 台の仮想マシンにマルウェアが置かれ、そのうち 2 台が、内部システムへの侵入の踏み台に使われた
半閉域網であったと思われる、産総研の内部ネットワークにつながる穴を開けた訳ですから、X研究センターは、もう少し外部攻撃に対する意識を持つべきだったと思われます。「セキュリティ?それ美味しいの?」的な知見しかなかった研究部門なのかも知れませんが、そもそも、そうした外部接続リスクが分からないのであれば、完全に独立したネットワークを外部に(AWSにでも)作れば良かったのではないでしょうか。
もう1点、産総研は・・・外部ベンダーに頼んで侵入テスト(ホワイトハッキング)して貰っていれば、もしかすると、このセキュリティホール(X研究センター)がもっと前に判明していたかも知れません。
そもそも内部に入られないと産総研は油断していたからか、「報告書 5.3.4 内部システムへの不正ログイン」にも気になる記載がありました。
① ファイル共有システム
ファイル共有システムは、メールシステムと共通の ID・パスワードで利用できたため、メールシステムへの不正ログインがあったアカウントのうち一部が、ファイル共有システムへの不正ログインにも利用された。
メールシステムへの第 1 次攻撃 100 名のうち 3 名のアカウントと第 2 次攻撃 43 名のうち 4 名のアカウントを用いて、X 研究センターの仮想マシン及び使用電力量モニタサーバを踏み台に、不正なアクセスを行った。
やはり・・・と言うのが率直な感想です。事件公表当初から知財権が漏えいした可能性が各所から指摘されていましたが、ファイル共有システムを利用したいたのは、簡単に推測できました。
何故なら、、報告書には名前が出てきませんが、産総研は「Office365」を使っていたからです。これは早い段階から日経の記者さんが書かれてました。
www.nikkei.com
不正アクセスがあったのは、同社が契約し使用しているクラウドサービス「Office(オフィス) 365」と、オンプレミスのサーバー上で運用している旅費精算や出退勤機能などを含む業務システム。
(日経記事より引用)
そして法人契約する際の、Office365のライセンス形態は・・・標準パターンが3つありますが、
その全てに、ファイルストレージの「OneDrive」が入っています。別サービスを利用していた可能性もありますが、メールシステム(OutLook)と同じIDとパスで見れる・・となっていますので、OneDriveを使っていた可能性はかなり高いと言えそうです。
そうだとすると、報告書(5.3.4)に書かれている、
ファイル共有システムの所在は、それまでに閲覧されていたメールの内容から特定された(推定)。
という事はなく、普通に不正ログインが成功した後には、普通にOfficeの機能を試してOneDriveに辿りついたのではないでしょうか?(※これでGoogle DriveやDrop Boxだったら笑えますが・・)
その後の侵入経路について、「報告書 5.3.4 内部システムへの不正ログイン」では、
■使用電力量モニタサーバ
・元IPアドレス制限がされてなかったので侵入され踏み台に使われた
■外部委託業者のサーバ(ネットワーク監視用サーバ)
・2台にマルウェアを置かれた。アクセス制御がされてなかった。
・同社が運用している多数のネットワークスイッチ等の管理パスワード、及びLDAPサーバの検索用の
ID/パスワードが暗号化されずに保管されていた。
■LDAPサーバ(不正検索)
・1月22日~2月8日にかけて管理用ネットワーク内のLDAPサーバへの検索が行われ、職員の
アカウント記録が窃取された。
・氏名、所属等の職員情報の他、認証サーバのログインIDと暗号化されたパスワードとハッシュ化
されたパスワードが窃取された。
・パスワード復元され第2次攻撃43名のメールアカウントへの不正ログインされた(推定)
事が記載されています。閉域網だという油断は、内部ネットワークに侵入された際に大きな被害を受ける要因と言われる事が多いのですが、まさに産総研のこの事件はその典型です。
自社で脆弱性診断ツールをかけていれば、IP制限不備の辺りは検出できた可能性がありますが、2点目の業者のセキュリティ意識は・・・監視ネットワーク端末が監視できてないという事についてもどうかと思いますが、運用要員のセキュリティ意識も酷いのではないでしょうか。
管理機器が多いために、何かにID等のメモを取る事が必要な場合もあると思いますが、「そこを襲われたらどうなるのか?」という想像力が欠如しているとしか思えません。
※例えばZIPでメモファイルを暗号化する・・といった手法も有効だと思いますし、オフィスが使える環境であるならば、「読み取りパスワード」をかけるだけも十分に”暗号化”は実現でき、リスクは低減できるかと思います。
ハッシュ化されたパスワードが復元された事も、対策不備(ハッシュ方式、ソルト、ストレッチ)が問われるべきかも知れませんが、その前に防げた脆弱性が数多くあるだけに、ここではコメントを割愛します。
「報告書 6.3 外部委託業者の管理の問題」を読むと・・・
外部委託業者に対しては、産総研の情報セキュリティポリシーを遵守するよう、契約における仕様書で定めている。しかし、一部の外部委託業者のサーバについては、十分なセキュリティ対策が講じられていなかった。
産総研情報セキュリティ実施要領(29 要領第 15 号)では、外部委託業者の情報セキュリティ対策の履行状況を定期的に確認することとなっていたが、本事案で問題となった一部の外部委託業者については未実施であった。
外部委託業者に対する監査は行っておらず、また監査の必要性についても検討していなかった。
やはり外注管理はしてなかった(出来なかった)ようですね。だとすれば、ガバナンスの問題だと思います。規定作っただけでPDCAを回さない、それが閉域網が正しく閉域になっているかどうかも確認できない事につながったと思いますが、産総研は、組織としてセキュリティに取り組む意識が希薄であったと言えるのではないでしょうか。
「報告書 6.4 マネジメントの課題」では、こう書かれているのですが、
2016 年度からは副理事長が CISO を務め、情報・人間工学領域長と環境安全本部長(情報化統括責任者を兼ねる)が CISO 補佐として CISO をサポートする体制とし、その体制の下で統括情報セキュリティ責任者である情報基盤部長を中心に情報セキュリティマネジメントを行ってきたが、今般の事案を未然に防止するには十分でなかった。
ちゃんと「行ってきていれば」、ここまで酷い事件にはならなかったと思います。その最大の要因については、私はCISOが機能してなかったからだと思います。CISOが経営層(トップ層)である事を否定するものではありませんが、セキュリティのPDCAが廻ってない事を気づかない、名ばかりCISOであるならば、厳しい言い方かも知れませんが、今後も被害を出す可能性は高いと思います。
それが現れていると思うのが、マネジメント課題の詳細に書かれている部分です。
<組織・体制上の課題>
統括部署である情報基盤部に、情報技術に関する専門家の人数が不足しており、研究部門へのサポートが十分にできていなかった。
CISO は副理事長であり、統括情報セキュリティ責任者は情報基盤部長であるが、組織上、情報基盤部は環境安全本部の中にあり、CISO と情報セキュリティ責任者間での意思疎通の迅速性に欠けることがあった。
規程上、本部と各研究部門の責任分担は明確化されていたが、情報機器の調達・管理、調達した機器のネットワークへの接続承認といった具体的な行為について、連携が十分取られておらず、必要なリスクを評価できていなかった
<重要情報の管理についてのポリシーと体制>
重要情報の管理についてルールはあるが、分権型ガバナンスの下、どのように管理されているかチェックが行われていなかった。パスワードの生成、管理についても、職員への指導、チェックが十分ではなかった。
上層部の方々を守りたいのかな・・・という言い訳らしき文章が多々報告書には書かれているのですが、
- 情報技術に関する専門家の人数が不足している事に気づかないCISO
- CISOと情報セキュリティ責任者間で意思疎通が迅速でない
- ネットワーク接続で必要なリスク評価をしてない事が把握できないCISO
- 重要情報管理の定期的チェック・棚卸しを要求しないCISO
やはりCISOに的確な方を割り当ててなかったのかなと思います。
対策案を見てみると、CISOは副理事長とは別な方が割り当てられるような、(普通のISMS的な)組織体制になるようですが、適切にセキュリティリスクを判断して、リソースを割り当てるべく経営層に上申できるCISOでないと、形だけの組織、形だけの役職、そして形だけの運用となる、そうした気づきを産総研の報告書から得られた気がします。
長くなったので色々と割愛しましたが、大きな事件での対策案については諸々の組織で参考になる所が多いかと思います。そうした意味では、是非、セキュリティ担当の方々には、この報告書を一読してもらいたいなと思います。
また時間が取れたら別記事をかくかも知れません。
過去記事
foxsecurity.hatenablog.com
foxsecurity.hatenablog.com
foxsecurity.hatenablog.com
更新履歴
