アイ・オー・データのテストサーバーが不正アクセスを受け、個人情報6万件を漏えいした可能性があると報じられていました。
this.kiji.is
電子機器メーカーのアイ・オー・データ機器(金沢市)は13日、同社の法人向けクラウドサービスに関わるサーバーが外部からの不正アクセスを受け、サービス利用者の個人情報約6万件が流出したと発表した。氏名や住所、電話番号、会社名などが含まれる。流出に伴う被害は報告されていないという。
不正アクセスを受けたのは、インターネットを通じてハードディスクドライブ(HDD)を遠隔管理するクラウドサービスのサーバー。社員が7日に不正アクセスを確認し、8日から外部機関と調査を進めていた。
流出した情報には、メールアドレス、会社の部署も入っていた。
(共同通信記事より引用)
公式発表
キタきつねの所感
共同新聞の記事内容を読む限りでは、海外でRDPサービスを狙う攻撃がここ数年続いているので、そうしたAPT攻撃かな?と思ったのですが、公式発表(5/8)を見ると、それ以前の問題である事が分かりました。
このたび、弊社NarSuSサービスの弊社テスト用サーバが、第三者による不正アクセスを受けたことを2020年5月7日に確認いたしました。
(公式発表5/10追記分から引用)
結論:テスト(サーバ)に本番データを使ってはいけない
参考:
foxsecurity.hatenablog.com
原因について公式発表では、
2.原因
現段階での調査の結果、当該サーバに対するセキュリティ設定が不足しており、外部から攻撃を受けたことに因るものでございました。
(公式発表5/13から引用)
とありますが、それは一面正しい事ではありますが、根本的な所ではありません。もう少し考え方を『シフトレフト』すべきだと思います。
参考:
あなたの組織で「シフトレフト」をいかに実践するか – アスタリスク・リサーチ
漏えいしたデータ内容をみると、
3.流出した情報について
現段階での調査の結果、NarSuSサービスご登録者様に関する以下の情報となります。(約6万件)
メールアドレス、氏名、郵便番号、住所、電話番号、FAX番号、会社名、部署名、製品型番、MACアドレス、製品シリアルナンバー
(公式発表5/13から引用)
生データ(実際の顧客データ)を流用したシステム担当者(DB管理者)の気持ちは分からなくはありませんが、『テストデータ(匿名化)』であったら、これは単なる不正アクセスによるテストデータ漏えいでしかなく、公表する必要すらなかった可能性がある、という事にもっと担当者、あるいはシステム管理者の方は真摯に向き合うべきかと思います。
テスト環境は、テストや検証を目的として構築しますので、本番運用とセキュリティ体制が必ずしも同じではないかと思います。その状態で、本来厳重に保護すべき”情報資産”である顧客情報が、外部攻撃者に見つかった=漏えいした。
資産管理を間違えた。こちらの方が真の原因でないかと考えます。
何か正当な理由があり、(例えば障害検証用途で)実際の顧客データをテストデータとして使わないといけない状況だったのかも知れませんが、テスト後に「速やかに消去」しておけば、事件にまで発展する可能性は低かったと思います。
本番リリース条件、あるいは検証報告の条件として、『本番データを削除した』という確認項目が入った報告書運用になっていれば、この手の事件は防げるものと思います。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
