Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

特権IDを共有してはいけない

警察庁職員が18万件を超えるファイルを不正に持ち出した疑いで書類送検されたと報じられていました。

www3.nhk.or.jp

警視庁の33歳の男性職員が、庁内のシステムに不正にアクセスし、18万件を超えるファイルをコピーして自宅に持ち帰ったなどとして、不正アクセス禁止法違反などの疑いで書類送検されました。ファイルの中には、東京 世田谷区で21年前に起きた一家4人殺害事件などの捜査資料も含まれていたということです。

書類送検されたのは、警視庁の情報管理課に所属する33歳の主事です。

警視庁によりますと、去年、職場で庁内の情報管理システムに不正にアクセスし、およそ18万5000件に上るファイルを私用のUSBメモリーにコピーして自宅に持ち帰ったほか、不正なプログラムを作成して運転免許に関するおよそ26万人分のデータを削除し業務を妨害したとして、不正アクセス禁止法違反などの疑いが持たれています。

 

キタきつねの所感

悪質な内部犯行事件と言えるかも知れません。東京を管轄する警視庁のイメージとしては、他の不祥事を起こす地方県警などに比べて、一段階防御が固いと勝手に思っていたのですが、「身内に甘い」体制である事が伺えます。

 

不正アクセスの時期について、NHKの記事では去年の8月~12月と書いており、約5か月間、警視庁は不正アクセスを検知出来なかった事を示唆しています。

去年8月から12月にかけておよそ90回にわたり、不正なアクセスを繰り返していたということです。

 

この事から、警視庁はアクセスログを取っていたけれども日常的(定期的)にチェックする事はしてなかったと想像できるのですが、だからこそ犯行(不正アクセス)が繰り返され、90回も発生してしまったと見る事ができます。

 

さらにやっかいなのが、運転免許情報26万件を「削除」出来てしまった事です。朝日新聞の記事には、この背景情報が書かれていたので引用すると・・・『上長への恨み』もあった様です。

幸いバックアップデータからこの情報は復旧が出来た様ですが、職場内での不平不満から犯行の兆しが読み取れていたら、もう少し被害が抑えられた可能性を感じます。

また男は20年12月、自作の不正プログラムを使い、運転免許管理システムから免許更新手続きに関する約26万人分のデータを削除した疑いもある。前日に仕事のミスを上司にしかられ、「困らせようと思った」と話しているという。

朝日新聞記事より引用)

※余談となりますが、容疑者にとってこの運転免許証データの不正削除は”致命傷”だった気がします。不正アクセスの終わりが2020年12月、データの不正削除も12月ですので、ここで初めて「検知された」様な時系列に思えます。違う言い方をすれば、データを削除しなければ、不正アクセスを気づかれずに済んでいたかも知れません。

 

ここまでは、内部犯行事件ではありがちな内容ですが、この不正アクセスに使われた認証権限について、記事では驚くべき事が書かれていました。

警視庁によりますと、主事は今回、大規模なシステム障害などが発生した時にしか使えない特別なIDとパスワードで、去年8月から12月にかけておよそ90回にわたり、不正なアクセスを繰り返していたということです。

主事は、このIDとパスワードを使う権限がありませんでしたが、おととし、システム障害の対応を手伝った際に入手したとみられるということです。

NHK記事より引用)

 

限定された者しか利用する事が許されていない(はずの)特権IDの認証情報がサイバー攻撃ではなく、職場内で一般ユーザーである容疑者に漏えいしています。

しかも、その漏えい原因は、臨時の作業の為特権ユーザーから「教えられた」可能性がこの内容から読み取れます。

 

この推定が正しければ、本来秘匿であるべき特権IDの認証情報が「共有された」事となりますが、秘匿情報を漏えいしたであろう特権ユーザーは、セキュリティの基礎を徹底的に再教育した方が良いのではないかと思います。

 

監督責任がある上長も注意・訓戒処分を受けてはいますが、、内部だから・・・と事件発生の原因となった内部運用について、何ら不思議に思っていなかった事が伺えます。

このIDなどは、人事情報や捜査情報などに幅広くアクセスできるため、本来は定期的に変更し、厳格に管理する必要がありますが、情報管理課では変更を行っていなかったということです。

NHK記事より引用)

 

事件を受けてワンタイムパスワードの仕組みを導入する様ですが、当該部署だけの運用改善でなく、内部に甘い性善説運用になっている部署が他に無いかどうかもチェックしないと、近い将来、特権IDを使った不正に対する「もぐら叩き」に奔走する事になるかも知れません。

 

特権IDの原則は個別管理です。

大規模システム障害の対応で容疑者の応援作業が必要であったのなら、特権IDを「容疑者用」に対して必要な権限だけに絞って付与し、障害対応が終了したら一時的に付与した特権IDを削除する運用となっていれば、この事件は発生せずに済んでいたかと思います。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

警察の取り調べのイラスト

 

更新履歴

  • 2021年8月7日 AM