Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

産業技術総合研究所は知財権を流出したのではないか?

産業技術総合研究所(AIST)が不正アクセスを受けたと2月13日に発表しました。この件について日経新聞が続報でオフィス365などが被害を受けたと報じています

www.nikkei.com

 f:id:foxcafelate:20180217164555j:plain

 

■公式発表

 弊所に対する不正なアクセスに関する事案について

 

インシデントタイムライン

日時 出来事
2018年2月6日 不正アクセス検知
外部からのアクセスを緊急遮断
原因及び影響範囲の調査を開始
2018年2月7日 副理事長の下に情報セキュリティ対策本部を設置
2018年2月8日 全職員の本件システム(Office365等)に関するパスワードを強制変更
2018年2月9日 本件システム(Office365等)をメール及びスケジュール機能以外は停止
全業務システムに関する点検を開始
2018年2月13日早朝 内部からのインターネット接続を遮断
2018年2月13日 事件を公表
2018年2月14日20時 日経の記事により影響を受けたシステムが『Office365』とオンプレ運用している『旅費清算』『出退勤』機能を含む業務システムである事が判明
事件の状況 
  • 2018年2月6日に『Office365』とオンプレミスのサーバ上で運用している旅費清算や出退勤機能などを含む業務システムに対して外部から不正アクセスを検知
  • 不正アクセスにより知的財産や個人情報などのデータ流出被害があったかは『確認中

 

◆キタきつねの所感

13日の事件発表を受けて、何件被害を受けたのかも分からず、公式リリース上では不正アクセスを受けたといった情報しか開示されてなかったので、日経新聞の続報記事を見るまで、この事件の影響が想像できませんでした。個人的には産総研は(もしデータ流出していた可能性があるのであれば)情報開示範囲があまりにも狭すぎるのではないでしょうか?

総研は、

国立研究開発法人産業技術総合研究所は、我が国最大級の公的研究機関として日本の産業や社会に役立つ技術の創出とその実用化や、革新的な技術シーズを事業化に繋げるための「橋渡し」機能に注力しています。

そのための体制として産総研のコア技術を束ね、その総合力を発揮する「5領域2総合センター」があり、全国10か所の研究拠点で約2000名の研究者がイノベーションを巡る環境の変化やそれらを踏まえて策定された国家戦略等に基づき、ナショナルイノベーションシステムの中核的、先駆的な立場で研究開発を行っています。(HP 産総研についてより引用)

昔の工業技術院、つまり国の研究所であり、研究成果だったりは日本にとって重要度の高い知的財産を多く保有しているものと思われます。

 

まず思ったのが・・・何故そうした研究機関がクラウドの『Office365』を使っているのだろう?という疑問でした。調べてみると、その回答が日経BP記事にありました

special.nikkeibp.co.jp

 産総研で進むオンプレミスからクラウドへのシフト。その背景にある理由を、久保氏は「事業継続性の観点に加えて、管理コストの削減と省エネルギー。これらの3つの効果をクラウド化で追求していきたいと考えていました」と説明する。 (日経BP記事より引用)

 

クラウド化の背景としては東日本大震災を受けてのBCP観点が最大要因のようです。当然クラウドにした際にセキュリティは大丈夫かな?と思う訳ですが、その点について日経BP記事では2点挙げられてました。

「大きく2つの方向性があります。外部に出しても問題ないと判断したデータについては、クラウドサービスを積極的に利用する。セキュリティ的な重要度が高く内部に置くべきと判断したデータについては、拠点間でのバックアップなどのBCP対策を施した上で産総研内のITインフラ環境を利用します」と同部情報基盤グループのグループ長である久保真輝氏は話す。

 

つまり、今回の不正アクセスで内部情報が漏れたとしても『外部に出しても問題ない』と判断されているという点。(内部規定上・・と思いますが)

産総研として求めたのは世界基準のセキュリティです。入札にあたっては、ISO/IEC 27001などのセキュリティ認証を必須としました。可用性や堅牢性という観点では、複数のデータセンター間で冗長化できることが重要です」と正木氏。マイクロソフトの国内データセンターをはじめとする Office 365 のIT基盤は、産総研の厳しい基準をクリアしている。

日経BP記事より引用)

 

そしてマイクロソフトのセキュリティについて、ISMS認定が高く評価されています。この点もよく分かります。しかし・・・これはデータセンター(ホスティング側)のセキュリティであって、産総研の運用を含めたセキュリティが安全である事を必ずしも意味してません。

2月8日に全職員のパスワードを強制リセットしている事から推測すると、Office365への認証がIDとパスワードだけだった可能性も否定できません。あるいはシステム概要図では、TLSも記載されているのでTLS1.0/1.1の脆弱性が問題だったのかも知れませんが。

 

Office365のサービスでは、多要素認証認証連携などが利用可能となっています。また監査ログを有効にすれば、メールなどへの不正な第三者からのログインも(本人が)検知できる可能性も高くなります。

support.office.com

Office365への移行は、導入事例があったので、ソフトバンクテクノロジー社(辻さんのところ)がサポートしたようです。

www.softbanktech.jp

まず気になったのは、35TBという膨大な移行データ量。

所属研究員など約9,000人、35TBのデータ移行を実施

ソフトバンクテクノロジー事例紹介より引用)

 

2月9日の産総研の対策を見ると、『本件システム(Office365等)をメール及びスケジュール機能以外は停止』とありますが、Office365の機能には、メールだけでなく、SharePoint(ファイル共有)OneDrive(ファイル保管)機能もあります。この機能が使われていたとすると、そこには重要ファイルがあった可能性高いことが伺えます。

 

機能面では、クラウドサービスであること、30GB以上の個人メールボックス容量や、会議室予約スケジュール機能個人用ストレージが利用できることが求められた。

ソフトバンクテクノロジー事例紹介より引用)

 

案の定、事例紹介にも産総研が導入条件としてストレージ=OneDriveを入れていた事が推測できる記載がありました。

規定上は重要度の高いファイルは個人用ストレージには保管しない事になっていたのだろうとは思いますが、産総研の組織として、それが把握できなかったのかも知れません。(そうだとしたら、恐らくファイルは流出していると思われます)

 

だとすれば、

今後の対応について同所は「第三者及び弊所の知的財産に関する情報や保有個人情報の漏えいの可能性なども懸念されることから、引き続き、早急に、原因及び影響範囲等の調査を進めます」「業務の遅延等により関係各所にはご迷惑をおかけしており、深くお詫び申し上げます」というコメントを発表している。(ASCII.jp x TECH記事より引用)

正直重要ファイルがあったかどうかすら把握してない”事がこのコメント表現と考えられそうです。

事件が検知された2/6から2/13まで内部調査していて、まだ流出があったかどうかすら把握しきれない・・・のはやはり、クラウドに寄せてしまった弊害と言えるかも知れません。

 

 

もうひとつ気になった点が、産総研にはセキュリティ・エバンジェリストの高木さんがまだ在籍してらっしゃったと思うのですが・・・高木さんや、産業インフラのセキュリティを研究されていた方々でもこうした組織全体の(潜在的な)脆弱ポイントは気にならなかったのでしょうか。。。

securityblog.jp

 

 

パソコンを使って働く白衣の人のイラスト(男性)

 

更新履歴

  • 2018年2月17日 PM(予約投稿)