少し前に発表があった、RIZAPのメールアカウント乗っ取り事件を少し考えてみます。
www.security-next.com
■公式発表 弊社子会社RIZAP株式会社における 不正アクセスによる迷惑メールの送信に関するお詫びとお知らせ | RIZAP GROUP[ライザップグループ]
◆キタきつねの所感
普通のメールアカウント侵害事件と言えばその通りです。不正アクセスを受けて侵害されたメールアカウントが1件と言う所も、とりたてて騒ぐ必要もない様に思えます。
ですが、侵害されたのがアカウントから迷惑メールが取引先1648社に2111件出されていた、というのは少し多いかも知れません。
すぐ判明したのが、RIZAPがOffice365を導入していた事です。つまりOffice365のOutlookアカウントが侵害を受けた事になります。
導入サポートをしたのは、日本ビジネスシステム社の様です。
マイクロソフトのGoldパートナーの様ですので、セキュリティ対策はしっかりとしていたのだとは思います。導入事例のページを見ると、
HDE Oneがセキュリティ強化策として導入されている様です。
Office 365 × HDE One 導入事例 RIZAPグループ株式会社 | JBS 日本ビジネスシステムズ株式会社
まずはモバイルデバイスの活用推進を第一に、全店舗に iPad を、全従業員に iPhone を配布して、それらのデバイス上で必要なコミュニケーションや業務をこなしていける環境を整備しました。さらに管理面やコスト面での負担軽減、セキュリティ面での強化を狙い、配付端末の見直し、業務用チャットの導入に加え、コミュニケーションのプラットフォームとデータセンターサービスを全社で統合しました。
さらに Microsoft Office 365 で社内のコミュニケーション基盤の統一をはかるにあたり、シングルサインオンの実現、メールの誤送信防止やアクセスセキュリティ、セキュアブラウザなど HDE One の機能を広く活用しています。
RIZAP が目指したのは、デバイスからすべての基盤、すべての情報が統一されたスキームによって網羅され、つながっている環境です。今回、従業員がそれを意識することなく容易に情報にアクセスできる一方で、万全なセキュリティが担保されているという理想的な環境を実現できました。
(日本ビジネスシステムズ社 導入事例より引用)
HDE Oneは、HENNGE社のサービスの様で、機能面を見ると、全ての機能を使っていた訳ではないのかも知れませんが、何故、メールアカウントが乗っ取られたの?と疑問に感じてしまいます。
入り口部分であれば、アクセスコントロール機能として、IP制限と端末制御が入っていれば外からの攻撃は結構難しかったのではないかな・・・と思いますし、Eメールを受けてマルウェアを踏んだとしても、一時保留があるので、迷惑メールを外部に出されても一旦止まるのでは?と機能面からは感じます。
機能的なバグが突かれたのだとすれば、1件だけ侵害を受けるのではなく、複数アカウントで同じ攻撃を仕掛けてくるのが普通な気がします。だとすると、、、標的型?とも考えてしまいます。
もう1点、1アカウントが侵害を受けたにしては、アカウント内の取引先数が1648社というのは結構多い気がします。例えばアウトルックの住所録に1000社以上登録する様な職種の方はどなた?と考えると・・・本社系の部門である可能性は高いかと思いますが、経理部門だったり、営業部門であっても・・結構上層部の方のアカウントだったのか?と考えてしまいます。
これ以上情報は開示されないでしょうから、想像の域を出ませんが。
こうしたRIZAPのIT技術導入を主導したのは、2016年11月にファーストリテーリングからRIZAPグループに入られた岡田CSO兼CIOの手腕による所が大きかったのかと思います。去年の記事だとIT部門20名を率いていると書かれていました。
japan.zdnet.com
機械学習および人工知能(AI)、ビッグデータ、IoTなどの先端テクノロジをRIZAPのサービスに導入したり、事業基盤となる情報システムの刷新を構想しており、さまざまな仕組みを構築していく計画だが、大前提としてインフラやコミュニケーション基盤、顧客管理基盤などの事業基盤を強固にする必要があった。
入社1年で既に、データセンターのクラウド化、顧客関係管理(CRM)基盤の整備のためにSalesforceの「Marketing Cloud」「Service Cloud」「Analytics Cloud」を導入した。GmailやGaroonなどのツールからOffice 365への移行も実施。
(ZDnet記事より引用)
最新の記事だと、フォーブスに今年の6/27に記事がありました。
forbesjapan.com
当然、今回の事件を受けてのセキュリティ強化も、岡田CSO/CIOが主導して対策を打っていくのだろうと思って少し見ると・・・・
アレ?役員リスト(17人+顧問1人)に名前が無いのですが????
役員一覧 | RIZAP GROUP[ライザップグループ]
6月22日の株主総会の資料にその答えがありました。。
岡田さんは退任されていますね(後任のCIOは役員リストにいらっしゃいます)
Forbesの記事が6/27に出ているのに・・・
※既に別の会社に籍がある様です。
ファーストリテイリングやRIZAPグループなどでCIOを歴任した岡田章二氏が、ドリーム・アーツのExecutive Adviserに就任|株式会社ドリーム・アーツ
こうなると気になるのが、今後のRIZAPのセキュリティ対策ですが、こんな(去年)資料をみつけました。
去年の資料ではありますが、より厳しいセキュリティ対策に対するRIZAPの本気のコミットメント。この事件をきっかけに更に対策強化していって欲しいものです。
余談です。
Googleのキャッシュにしか残ってないので、既に良い候補者の方が入社されたのだとは思いますが、セキュリティ部門&監査部門のスペシャリストを募集していた求人情報を見ると、、、ある意味、セキュリティ担当(の詳しい方)があまり居なかったんではないかな・・・と思ったり、インシデントを受けての今後の対応が大変そうな担当になりそうだな・・と思ったりします。
正直、スペシャリストでの主担当だと、ポリシー策定してソリューション選定も担当して・・・というのは役割が重そうですが、、、給与水準から考えると、副担当(あるいは将来のエース候補)なのかなと想像します。
更に余談です。個人情報保護方針を拝見すると、SSL入れて、FW導入してるから良し!がセキュリティ対策です・・とも読めるのですが、ここはもう少しコミットして欲しいなと思います。
本日もご来訪ありがとうございました。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴