Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

理化学研究所への不正アクセス

理化学研究所の学習管理システムが不正アクセスを受けて個人情報が外部に流出した可能性があると発表しています。

www.security-next.com

 

公式発表

学習管理システムからの情報流出の可能性について魚拓

経緯
9月24日(金)13時頃、理研が利用している学習管理システムのサービス提供業者より「サーバーに対し外部から不正アクセスがありファイルが改ざんされた」との報告がありました。調査報告を受けた結果、理研からサービス提供業者に改善を要求していた既知の脆弱性を突かれファイルの改ざんだけでなく何らかの命令が実行されたことが判明しました。

ファイル改ざんによる命令実行によって学習管理システムのデータベースに登録されている約1万4000件の個人情報が流出した可能性が高いと認識しております。

流出した可能性のある情報の内容と範囲
流出した恐れのある情報は以下の通りです。

個人に関する情報
ID番号
姓名、ミドルネーム
メールアドレス

 

キタきつねの所感

理化学研究所理研)と言えば、STAP細胞・・の方も確かこちらに在籍していたかと思いますが、日本で唯一の自然科学の総合研究所で、ノーベル賞学者 湯川秀樹朝永振一郎など、数々の優秀な人材を輩出してきた国立研究開発法人です。

※わかめスープで有名なリケン理研ビタミン株式会社)は、理化学研究所のビタミンA部門を引き継ぐ形で設立された会社です

 

漏えいしたデータは最大1.4万件と発表されていますが、その登録されている方々は、当然の事ながら世界的に名だたる研究者が名を連ねているかと思います。

対象
9月24日時点の理研関係者(直接雇用者、客員研究員、学生、派遣社員等)、2019年3月16日以降の退職者、2020年4月以降に学習管理システムを利用した部外者。

(公式発表より引用)

 

漏えい情報を見ると、それ程機微な情報でない気がしますが、メールアドレスが漏洩している事から考えると、フィッシングなどの別の(標的型)攻撃に不正利用される可能性も十分に考えられますので、留意が必要かと思います。

 

今回のインシデントの直接的な原因について、様々な内部事情があったのだろうとは思いますが、結果から見ると、理研およびサービス提供業者「セキュリティを軽視していた」と言えそうです。

(外部に公開している)サービスに脆弱性がある事を把握していながらそれが原因でインシデントが発生しましたというのは、日本を代表する研究機関として何ともお粗末です。

経緯
9月24日(金)13時頃、理研が利用している学習管理システムのサービス提供業者より「サーバーに対し外部から不正アクセスがありファイルが改ざんされた」との報告がありました。調査報告を受けた結果、理研からサービス提供業者に改善を要求していた既知の脆弱性を突かれ、ファイルの改ざんだけでなく何らかの命令が実行されたことが判明しました。

(公式発表より引用)

 

侵害を受けたサービスが、学習管理システムとありますので、脆弱性対応はあまり重要ではない」と、理研やサービス提供業者が担当レベルで判断、セキュリティの懸念事項が、経営陣(理事会)まで伝わって無かったのではないでしょうか。

 

さて、気になったのが学習管理システムです。普通に考えるとLMS(学習管理システム:Learning Management System)を指しているのだと思いますが、具体的な名前が出ていません

同研究所によれば、不正アクセスを受けた学習管理システムは、一般的なソフトウェアを用いて構築されたもので、外部事業者による運営のもと、同研究所にサービスとして提供されているものだという。

同システムには既知の脆弱性が存在しており、同研究所では2021年夏ごろより、サービス事業者に対策を求めていたが修正されておらず、今回攻撃の対象となった。

対処が遅れた理由について、脆弱性を発見していたものの、同研究所より別途依頼されていた新機能の検討を優先し、脆弱性の対応が後回しになってしまったとの報告をサービス事業者より受けたという。

(中略)

サービス事業者の名称については、サービス事業者の了承を得られていないとして公表していない。問題の脆弱性についても、一般向けシステムで同様の脆弱性を持つサイトが存在し、二次被害の可能性があるとして、具体的な内容についてはコメントを避けた。

Security Next記事より引用)

 

脆弱性対応をサービス提供事業者に申し入れしていて、それが実行されたかどうかを確認しなかった理研側に非はありますが、既知の脆弱性が判明していて、夏頃と書かれているので約3か月放置したと思われるサービス提供事業者は企業名を公開(リリースを出す)すべきではないでしょうか?

穿った見方をすれば、理研が名前を出せない=理研が対策を求めていなかった、あるいは脆弱性は放置で良いとサービス提供事業者に伝えていた、といった可能性すら考えられます。

 

さて、今回侵害を受けた学習管理システムですが、侵害を受けた事から想像すると、外部に公開されているものであったと推測されましたので、少し探してみました。

結果、Youtubeを使ったeラーニング利用も見つかったのですが、恐らく下記のサイトだったのではないかと思います。

f:id:foxcafelate:20211106104514p:plain

 

確たる根拠がある訳ではないのですが、まずこのeラーニングを受講しないと研究所の情報システム利用ができない事が、記載されている(約1.4万人が利用していてもおかしくない)点と・・・

f:id:foxcafelate:20211106104844p:plain

現在アクセス不可な点が、非常に怪しく感じます

 

一応魚拓サイトを確認してみると、2021年1月24日の魚拓データがありました。サイトデザインが恐らくサイト停止の影響で崩れていますが、侵害を受けたのがココだった可能性を強く感じます

f:id:foxcafelate:20211106105202p:plain

 

リスト型攻撃であれば、多要素認証を入れるなどといった対策によって、インシデントを防げた可能性もありそうですが、恐らく違った攻撃で、そもそもの(危険度が高い)脆弱性が放置された事の方が問題だったのかと思います。

そう考えると、理研の公式発表通りであれば、「サービス提供事業者」の責任がより重い様に思います。

 

何故、パッチ当てを優先すべきだと理研に申し入れをしなかったのか理研だけがユーザーという訳ではないのかと思いますので、サービス提供事業者は、きちんと公式リリース(見解)を出すべきではないでしょうか。

※それが出来ない会社であるならば、自社のeラーニングシステムを使って、理研の仕事を受ける前に、「情報セキュリティ」について関係者全員が勉強すべきかと思います。

f:id:foxcafelate:20211106110705p:plain

 

 

余談です。今回のインシデントとは直接関係が無いものと思いますが、理研のインシデントを調べている中で、ベンダーの実績ページに、理研のNW構成が俯瞰できる図などがありました。

f:id:foxcafelate:20211106105657p:plain

 

インシデントなどを調べるリサーチャーの立場としては大変ありがたい情報開示なのですが、導入製品やサービス名などを含め、(ベンダーの言うがままに)実績として開示してしまうのは、攻撃側に余計なヒントを与えかねない点で、あまりお勧めできません。

 

セキュリティに関係する機微な情報は公開しない、

すなわち「見せないセキュリティ」について、理研(だけではありませんが・・)はもう少し意識すべきでないかと思います。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 転ぶ白衣の人のイラスト(男性)

 

更新履歴

  • 2021年11月6日 AM