Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

原子力規制委員会への不正アクセス調査に時間がかかっている件

一般的に言って、不正アクセスの影響調査に時間がかかっている場合は、何か機微な情報が漏えいした可能性が高いのですが、官房副長官は昨日の時点で否定しています。とは言え、関係者の方々の歯切れが悪いのはどうしてなのでしょうか?

jp.reuters.com

岡田直樹官房副長官は28日午後の会見で、原子力規制委員会のネットワークのシステムに26日午後、不正侵入があった件について、現時点では情報の漏洩は確認されていないとの見解を示した。また、核セキュリティの情報は外部と接続していないシステムに存在し、漏洩していないと説明した。

外部からの不正侵入は26日午後に確認され、同規制委から内閣官房に報告があり、侵入の主体などについて調査を続けているという。

(ロイター記事より引用)

 

公式発表

 

キタきつねの所感

既に多くの方が初報を聞かれていて、piyokango氏も記事化している(とは言えまだ中身が溜まって無い気がしますが)中で、この記事を書こうと思ったのかと言うと、昨日の原子力規制員会 更田豊志委員長の定例会見の動画を見て、少し疑問を感じたからです。

 

現時点(10/28)での情報漏えいに関する関係者の見解は、「情報漏えいは確認されていない」となっています。

 

・核に関するセキュリティ情報(機微情報)は別の独立したシステムで管理していてたので不正アクセスの影響はない

・現時点で、(不正アクセスによる)情報の漏えいは確認されていない。

 

この事から考えると、すぐに事態が収拾されていきそうな気がするのですが、一方で、27日の共同通信の記事には、(個人的に)引っかかる記述があります。

www.47news.jp

規制委によると、26日午後5時40分ごろ、不正アクセスを示す通信を検知翌27日午後3時まで調査し、情報システムのサーバーに侵入された痕跡を見つけた。

(共同新聞記事より引用)

 

不正アクセス検知から、サーバー侵入の痕跡を見つけるまでに約1日かかっているのです。

因みに、関係があるとして外部とのメール送受信を止めたのは、27日17時です。つまり・・・26日(検知)から、27日(メール送受信停止)まで1日は、特に緩和策が打たれてなければ被害が拡大していた可能性があるという事になります。

 

想像でモノを書くのは良くない事ですし、この間に、原子力規制委員会は何らかの緩和策を取られていたのかと思いますが、1日かかっているのは、検知からの対応が遅いと言われても仕方がないかも知れません。

 

しかし、こうした初動の遅れ(の可能性)よりも、実は更田委員長の定例会見での発言から、この事件の影響は実は大きいのではないかと感じさせました。

どんな会見内容だったのか、不正アクセスに関する回答部分を書き起こしてみます(一部端折ってます)。

Q これからの対応をどう考えているか?

「どういう事が起きたのかという詳細についても、調査をしているメンバーたちは、こうではないかという仮説はあるようですけれど、それについて言及する事によって脆弱性が解決される前にそういった事についてつまびらかにできるものではありませんし、それから脆弱性1つとっても、どこに脆弱性があったのかは、まだ掴めている状態ではありませんので、きわめて正直に言うと、対処にどれだけ時間がかかるのかすら現在ではつかめていません。今の時点では分からないというのが一番正直なところです。」

 

専門家が入って分析中という事もあるのかと思いますが、何とも歯切れが悪い回答です。

※(根拠はありませんが)断片的に出ている情報から考えると、私はフィッシングメールマルウェア)か、VPN等の外部接続口が不正アクセスの発端だったと想像します。

原子力規制委員会が「不正アクセスを検知」した部分にもよるかと思いますが、不正ログインの直接的なログ、あるいは権限昇格を狙うアクション、外部への不審な通信(成功していれば情報漏えいした可能性が高くなりますので、現時点ではこの線は無いのだと思われます)、権限の無いIDからの機微情報へのアクセス・・・等々、検知情報から調べていけば、普通の不正アクセス事件であれば、1日あればもう少し原因が絞り込める(発表できる程度には)可能性が高いのではないでしょうか。

それでも、脆弱性の特定や、その対処にどれだけ時間がかかるか分からないという今の状況は・・・「核」や「原子力」といった国家的に機微な情報を取り扱う組織のセキュリティを監査する、いわゆるセキュリティ面でもプロであるべき組織としては少し物足りなさを感じます。

 

とは言え、調査範囲が膨大すぎて、専門家でも慎重な分析が求めれて、分析が難しいという状況である、あるいは必要なログを既に攻撃者に消されている様なAPT攻撃だった可能性もあるので、(※だとすれば情報漏えいしている気がしますが)少し対応に問題がある程度で済む話な気もしなくもありません。

 

記者の質問に対する更田委員長の回答で、今回の事件原因(発端)のヒントとなりそうな部分がありました。

Q 発電所のトラブル対応や審査に影響しそうか?

「まず影響があるとすると新型コロナの感染症対策もあって在宅勤務を進めている。これは一時期ほどではないですけれど、現在でも在宅勤務できる職員に関しては、という形をとっている。テレワークが難しくなるので、そういった意味では時差出勤等の活用によって感染症対策への影響を抑えつつ勧めていくしかない。在宅勤務には影響が出ると思う。審査(ワークにおいて)、Eメールが使えない。外部とのEメールのやり取り、日常業務で占める割合は少ないがメールでのやり取りが電話に変わる、ファイルのやりとり等が媒体を挟む、そういった意味でのやりにくさはある。審査への影響は出ないようにしていく」

 

このご時世ですので、テレワーク対応は普通かと思いますが、影響範囲のいの一番に「テレワーク」を挙げた所に、私は「テレワーク環境が攻められた」可能性を感じました。※以下根拠はありません

この推定が正しければ、一番可能性がある気がするのが、VPN(RDP)装置の脆弱性です。

 

テレワーク環境を構築する上で基幹となる機器類は他にもありますが、組織側のゲート(ゲートの後に続くFW等の)装置がハッカーによって侵害されたのだとすると、影響範囲調査に非常に時間がかかる可能性があるのかと思います。

 

その為かは分かりませんが、更田委員長は別な質問に問題の全体解決まで1月以上かかる可能性があると、復旧の見通しについて言及しています。

Q 復旧の見通しは?

「一般論ですが、そんなに短い時間で解決するものではないと説明を受けている。私自身もそう思う。どの程度の影響があるかを把握して、原因なり、脆弱性の解消が完全には終わらなくても、徐々にシステムの利用を再開していかないといけないと思っている。問題の全体が解消されるまでには、月単位でかかる可能性がある。」

 

ここまで調べていて、どの辺りが攻められたのかと気になって、色々と検索をしてみた所、ヒントとなるかも知れない情報を見つけました。

※以下も根拠の無い推測となります。

 

それが、入札情報です。1つがファイル共有サーバーに関するものです。入札説明資料を読んでいくと、内部にサーバーを立ててこちらを保守する事が書かれています。これは令和2年から稼働しているので、今回不正アクセス被害を受けた可能性が一番高いはこのシステムかと思います。

しかし入札説明資料を読んでも、今回の影響範囲と少しマッチしていません。例えば、ADとの連携は書かれてますが、メールシステムとの連携といった点は書かれてないので、別にファイル共有サーバーがあった可能性も考えられます。

www.nsr.go.jp

 

別なキーワードで「テレワーク」という発言もあったので、こちらで検索をしてみると、【令和2年度テレワーク環境増強のためのネットワーク整備等業務】なる入札情報が見つかりました。

 

f:id:foxcafelate:20201029101714p:plain

 

こちらは、、NEC随意契約をしていますので、恐らくNEC系のソリューションでテレワーク環境が構築されたのかと推測されます。

この契約の元となる(と思われる)、予算案の情報が原子力規制委員会のHPにありました。

f:id:foxcafelate:20201029101944p:plain

この内容から、テレワーク端末の調達と、BYOD的に使えるUSBシンクライアントソリューション(ソフト)が導入されたのかと推測されます。ここでは電子メール連携は出てこないのですが・・・事件とは関係が無いかも知れませんが、NECのHPではテレワーク関連のサービスとして、以下の様な連携サービスの提案(宣伝)していました。

 

f:id:foxcafelate:20201029102252p:plain

 

今回、不正アクセスにより影響を受けているのが、「電子メールやファイルを共有するサーバーの一部」と報じられています。

規制委によると、ログが確認されたのは、電子メールやファイルを共有するシステムのサーバーの一部。26日午後5時40分ごろ、情報システム部門の担当者が外部からの不正な通信を検知したという。

朝日新聞記事より引用)

 

この影響範囲、どうして電子メールと、ファイル共有サーバーの両方が影響を受けたのか、そして何故復旧に相当時間がかかる見込みなのか、といった部分は原子力規制委員会の発表、各社の報道からは今の所読み取れません。

しかし、仮にこうしたサービスを利用している場合、ファイル共有サーバー機能がクラウド(box)に置かれる事になりますので、両方のサービスが影響を受けた可能性は、一般的なファイルサーバーが単独で侵害された場合よりも、報道されている被害状況と近い気がします。

案外こうした所(外部のクラウドサービス事業者のサービス領域で不正アクセスによる影響が発生した)にあるのかも知れません。

 

 

余談ですが、一般的に(※この事件を指している訳ではありません)、外部のクラウドサービスを利用している場合、影響調査に時間がかかる事が想定されます。

どこまでがクラウドサービス事業者側でセキュリティ担保されているのか、インシデントが発生した際にどういった調査対応を連携して出来るのか、そうした事について事前にインシデント対応計画(契約)を立てておくべきかと思います。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

原子力発電所のイラスト

 

更新履歴

  • 2020年10月29日 AM