Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

OKIの不正アクセス被害

あまり大きな話題にはなっていませんが、沖電気工業(OKI)の社内サーバに不正アクセス被害があったと発表されていたのが気になりました。

www.nikkei.com

 

公式発表(12/2)

当社ファイルサーバーへの不正アクセスについて魚拓

OKIは、2021年11月8日、当社ネットワークに対する第三者からの不正アクセスを確認しました。社内調査の結果、社内のファイルサーバーに不審なアクセスがあり一部のデータが読み出された可能性があることが11月30日に判明しました。外部の専門機関による調査も実施し、お客様に関する情報や個人情報が含まれるかなどの詳細を確認中です。

当社といたしましては、不正アクセスの確認後、速やかに該当するネットワークの切断や外部からのアクセス制限など必要な対策を講じており、関係機関への報告も実施しております。

(公式発表より引用)

 

 

キタきつねの所感

まだ侵害があった旨の初報段階の内容しか公式発表がされておらず、何があったのかを伺い知る事は出来ませんが、被害を受けた可能性がある「社内のファイルサーバー」がOKIの幅広い事業の中の”ドコ”にあったのかによって、今後調査結果として発表されるであろう、インシデントの影響範囲が大きく変化する気がします。

 

日経新聞では、OKIのその幅広い事業領域を以下の様に書いてますが、ファイルサーバーと一口に言っても、そんなに機微な情報を取扱わない部署のサーバーから、防衛装備品の機微情報が格納されたサーバーまで、被害対象は様々考えられます。

取引先情報や技術情報、従業員の個人情報などが外部に流出した可能性がある。同社は通信ネットワーク機器やATMのほか、潜水艦のソナーなど防衛装備品も手がける。外部の専門機関に依頼して詳細な調査、特定を進めている。

日経新聞記事より引用)

 

公式発表や関連記事でもあまり多くの情報が出ていない、いわゆる初報の段階において、想像でモノを言うのは良い事ではありませんが、公開されている断片的な情報を俯瞰すると、「機微な情報が窃取された」と言う発表が今後OKIからされる様な気がしています。

 

OKIの公式発表は12/2(木)でしたが、現時点ではあまり多くの関連記事が出ていません。

※把握できるだけで日経時事Security Next位です。初報の情報が少ないので、続報待ちというメディアも多いのかも知れませんし、OKIの上手な広報戦略の結果とも考えられます。

 

時事の記事はOKIからリリースが出た事に対しての短いものでしたが、Security Nextの記事は、取材されたのかと思いますが、もう少し情報量がありました。

同社によると、11月8日に同社グループで利用するファイルサーバに対し、通常の運用では考えられない大量のスキャン行為を検知。同月30日に三者によるアクセスによって一部データを読み出された可能性があることが判明した。

詳細は調査中だが、アクセスログより少なくとも2020年10月ごろより不審な通信が発生していたという。データの暗号化や破壊行為、犯行をほのめかす脅迫などは確認されていない

12月3日の時点で外部に対するデータの送信は確認されていないが、ネットワーク内の不審な通信においてファイルを閲覧された痕跡が確認されており、外部に顧客情報や個人情報が流出した可能性もあるとして、アクセス制限など対策を講じた上で外部事業者による調査を進めている。

Security Next記事より引用)

 

まず公式発表にも書かれていましたが、タイムラインとして、11月8日に不正アクセスの可能性を把握していながら、データを窃取された可能性がある事が判明するまでに20日以上かかっています。

つまり、痕跡を把握するのに時間がかかった≒フォレンジック(詳細)調査を実施した事が想像されます。

 

この想像が正しいのだとすれば、攻撃者がデータ窃取の痕跡をあまり残してなかったので分析に時間がかかった事になりますので、高度な技術を持つ攻撃者であったと推測されます。

そして、侵入期間が1年以上(2020年10月~)あり、脅迫をしていない(≒ランサム攻撃ではない)とすると、(機微な情報を狙って)長期間OKIのネットワークに潜入していた攻撃者であった可能性を感じます。

 

しかし1つ説明がつかないのが、1年近く潜伏していた攻撃者であったとしたら、何故OKI側に検知される可能性が高い「大量のスキャン行為」を実施したのか?という点です。

同社によると、11月8日に同社グループで利用するファイルサーバに対し、通常の運用では考えられない大量のスキャン行為を検知。同月30日に第三者によるアクセスによって一部データを読み出された可能性があることが判明した。

Security Next記事より引用)

 

(以下、想像となり、確たる根拠はありません)

まず考えられるのが攻撃ツール等の操作ミスです。偵察~横移動の段階に手動で慎重に実施すべき所を、自動ツールで誤って攻撃してしまった様なケースです。とは言え、高度な技術を持って初期侵入に成功した攻撃者が、そうしたミスを犯すのか?と考えると疑問も残ります。

次に考えられるのが、”警告”(示威行為)です。攻撃者がここまで侵入した事をOKI又はステークホルダーに見せつける為に、わざと検知できる様な攻撃を仕掛けた。国が支援する攻撃者だったとすれば、考えられなくもないかと思います。

3つ目が、攻撃者が途中で入れ替わったというケースです。1年以上前から侵入していたのは初期アクセスブローカー(≒ネットワーク侵入専門の攻撃者)であって、その情報を買った、第2の攻撃者が本格的な攻撃を仕掛けようとして、OKI側の検知に引っかかった、という様なケースです。

 

いずれも想像でしかありませんが、OKIがリリースを出したその事自体が、被害は軽微では無かったという事を示唆している様に思えるだけに、第2報(詳細調査結果)が気になる所です。

 

※新たな情報を把握できましたら、当記事を修正あるいは別記事を書くかも知れません。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

ハッカーのイラスト

 

更新履歴

  • 2021年12月4日 PM