Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

東芝のメール情報流出は何故100人分だったのか?

考えてみた。 不正アクセス事件

東芝が自社グループのメールサーバに不正アクセスを受け、従業員のメールデータが不正に閲覧された可能性がある事を2月28日に発表しました。

tech.nikkeibp.co.jp

■公式発表

 東芝:プレスリリース (2018-02-28):当社グループのメールサーバへの不正アクセスについて

 

インシデントタイムライン

日時 出来事
2018年2月10日 監視を委託している外部企業が不正アクセスの可能性を報告
~2018年2月14日 社内調査により東芝グループのメールサーバの一部に不正アクセスがあった事を確認
不正アクセスの経路を遮断
メールサーバの複製機能を停止
  東芝及び外部委託先企業(東芝インフォメーションシステムズ)への不正アクセス調査実施
外部専門事業者も活用し、不正アクセスの全体像把握及び影響範囲調査
2018年2月28日 事件を発表

 

事件の状況  (東芝プレスリリースより)
  • 一部情報システム運用・監視を委託している外部委託先企業より、委託先ネットワークのホストサーバ及び当該ホストサーバ経由での東芝社内情報システムへの不正アクセスの可能性を検知した旨の報告を2月10日に受ける
  • 東芝及び東芝グループ会社従業員100名分送信先アドレス等の個人情報が流出した可能性がある
  • 機密性の高い技術情報や取引先との取引関連情報等の重要性の高い情報は含まれていなかったことを確認
  • 現時点で不正アクセスされたメールデータの当該委託先企業から外部への流出は確認されてない
 
再発防止策  
  • 情報流出の可能性を防ぐため、不正アクセスの経路を遮断し、メールサーバのデータコピー機能を停止
  • 引き続き外部専門事業者も活用し、システム監査・調査を継続しており、当該結果によってはセキュリティ強化対策を実施する
  • 外部委託先含めてのセキュリティ強化及び情報管理の徹底を図る

 

◆キタきつねの所感

少し前の事件となりますが、改めて事件情報をじっくり見てみました。まず気になったのは東芝の公式プレスリリース内容が分かりにくかった部分を補足していたZDnetの記事でした。

japan.zdnet.com

同社によれば、不正アクセスは2月10日に、子会社の東芝インフォメーションシステムズが運用管理する社内情報システムで発生。東芝では一部の社内情報システムの運用を外部委託しており何者かが委託先ネットワークのホストサーバやホストサーバを経由して、東芝グループのメールサーバに不正アクセスしたと見ている。

ZDnet記事より引用)

東芝から見ると委託先と再委託先があるのでプレス内容がとても分かりにくいのですが、今回の事件には少なくても3社が存在しており、

  • 一部の社内情報システムの運用を(東芝東芝インフォメーションシステムズから)委託されていた外部委託先企業【A社】
  • 東芝グループのメールサーバ)運用を東芝から委託されていた東芝インフォメーションシステムズ【TIS社】
  • 東芝

記事を俯瞰する限り、【A社】のネットワーク経由で【TIS社】の運用・管理していた東芝グループのメールサーバが不正アクセスを受けた、という状況のようです。

 

その上で、リリースを見ていて『違和感』があったのが、この内容です。

その後、不正アクセスによる被害の範囲・内容の調査を行い、現時点までの調査の結果、従業員100名分のメールデータが流出した可能性があること、当該メールには、機密性の高い技術情報や取引先との取引関連情報等の重要性の高い情報は含まれていなかったことを当社として確認しています。

東芝プレスリリースより引用)

分かりますでしょうか?不正アクセス事件において『従業員100名分』とキリが良い数字で被害件数を堂々と言い切れるケースは、経験上ほぼありません。約100人分なら分かるのですが・・・影響範囲は発表まで約2週間調査している訳ですし、日本を代表する企業でもある東芝の広報部門が不確かな情報でプレスリリースを出すとは思えませんので、『従業員100名分』というのは(現時点での)確定情報と考えて良いのだと思います。

改めて対策案(事件経緯)のところを見てみると、

情報流出可能性の拡大を防ぐため、本件把握後直ちに、不正アクセスの経路を遮断し、メールサーバのデータコピー機能の停止などの対策を講じています。

東芝プレスリリースより引用)

メールサーバのデータコピー機能の停止あたりが気になります。この機能を止めた事を考えると、【TIS社】の管理していた領域にあったメールのバックアップサーバが直接的な不正アクセスを受けたのではないか?と推測します。

ではそこから100名と限定されたメールアドレスのデータを引き出せる可能性があるとすると・・・例えばSQL文的なモノを投げられた場合でしょうか。。。だとすると、バックアップサーバの管理者IDとパスワード漏れていた?・・・影響範囲が未だ確定できてない東芝、外部専門事業者も活用してシステム監査・調査を継続している)事も加味すると、管理者権限を使われて他のサーバまで実は不正アクセスを受けていたか分からないから、なのかも知れません。

以上は勝手な推測でしかありませんので、もっと違う理由なのかも知れません(恐らくこの手の事件は続報が出ませんので、真偽の程は東芝が続報を出してくれるまで分かりませんが)。ですがこの事件の教訓と考えるべきなのは、サードパーティ管理』をしっかりやる必要があるという事ではないでしょうか。

 

 

東芝は2017年11月にCISOを立て、CISO+SOC+CSIRT(+PSIRT)の非常にしっかりした組織を作っています。今回の件が、CISOやCSIRT扱いだったかは記事からは分かりませんが、(仮に推測の様に管理者権限を取られての侵害事件であったのであれば)影響調査をしっかりとして、サードパーティ経由でのアクセスに対しても(Untrust扱いで)多要素認証やFirewallを使うなどして、セキュリティ体制を再度レビューしていくのが良いのかと思います。

 

scan.netsecurity.ne.jp

 ■参考(東芝リリース)

  東芝:ニュース&トピックス (2017-11-01):サイバーセキュリティ対応における経営体制の強化について

 

 

 サザエのイラスト

 

更新履歴

  • 2018年3月4日AM(予約投稿)