5月に発覚したProjectWebへの不正アクセスに関する第四報が12/9に富士通から出されていました。内容からすると”最終報”に近いのですが、何故か最終報ではなかった点を含め、この内容を少し考えてみます。
pr.fujitsu.com
キタきつねの所感
今年を代表するセキュリティインシデントは担当の分野によって様々かと思いますが、PPAP推進派の方が”触れなくない”程に大きな影響があったインシデントが、富士通が提供していたProjectWebへの不正アクセス事件と、海外におけるAccellion File Transfer Appliance(FTA)への不正アクセス事件の2つかも知れません。
※参考:QualysもAccellion FTA経由で侵害された - Fox on Security
今回の富士通の発表は第四報となります。第1報は事件発生について簡単に書いてある内容、そして第三報はCISOやCISO補佐の任命といった体制面を中心とした内容でしたので、事件の経緯に関係する部分では、第二報の続きが第四報になるのかと思います。
・「プロジェクト情報共有ツールへの不正アクセスについて」5/25
・「プロジェクト情報共有ツールへの不正アクセスについて(第二報)」8/11
・「プロジェクト情報共有ツールへの不正アクセスについて(第三報)」9/24
この第四報を最初読んだ際に違和感がありました。
※以下確たる根拠はありません。
内容的には”最終報”的なリリースなのですが、最終報では無い事が分かります。
第四報の冒頭部分にこの事が明記されており、検証委員会の検証結果待ちである事が、その理由であり、検証結果が出た後に、総括(≒最終報)を出す予定となっている事が分かります。
現在、本事案の原因および当社の対応について外部有識者の「検証委員会」に検証頂いております。また、これまで実施した原因調査や被害範囲の確認の妥当性等を検証すべく、客観的・技術的な観点から、内閣サイバーセキュリティセンター様等にご相談しております。当社といたしましては、検証委員会の検証結果や内閣サイバーセキュリティセンター様等のご助言も踏まえて、改めてしかるべき時期に本事案に関する総括を行うとともに、新ツールについても今後の検証結果に基づくご指摘事項への対応と技術や脅威動向の変化に応じた必要なセキュリティ対策向上を図ってまいります。(第四報より引用)
このニュースを覚えていらっしゃる方がどれだけいるか分かりませんが、2021年5月に第一報が出ています。
第二報(8月27日)の段階で検証委員会の設置およびメンバーが発表されているのですが、3か月弱では検証報告書が出てこなかったのは(それだけ深刻な被害が出たという事かも知れませんので)仕方が無いとして、第四報で富士通が出してきた新ツールや再発防止策は、(あくまでのリリースの表現上ですが)、検証結果とマッチしていません(≒論理矛盾状態)。
当社では、本事案を重く受け止め、関係当局へのご相談を進めるとともに、早期の信頼回復を目指し、引き続きお客様対応に全力で努めてまいります。また、本事案の原因および当社の対応について、外部有識者による「検証委員会※」を設置し客観的な視点での検証作業を進め、これらの結果を踏まえ、実効的な再発防止策を講じてまいります。
(第二報より引用)
この第四報は、やはり検証結果と一緒に出されるとしっくりくる内容の様に思えます。
往々にしてこうしたリリースは、インシデントの脆弱点を埋める視点で書かれていますので、原因部分が対策した事から推測が出来る事が多々あります。その視点で第四報を見てみると、
1.新ツールについて
(中略)
(2)不正アクセスに対するセキュリティ対策
ProjectWEBには多要素認証が採用されておらず、また、不正アクセスを早期に検知する仕組みも十分ではありませんでした。これを踏まえ、新ツールでは多要素認証を用いた認証強化による不正ログインの防止を行うとともに、複数のログの収集・管理も一元的に行うことで不正アクセスが疑われる不審な挙動を監視する等不正アクセスの早期発見を可能としています。また、ログの一元管理により、不正アクセスを受けた際の原因究明や影響範囲調査への対処もより迅速になると考えております。なお、これらの機能にとどまらず、技術や脅威動向の変化に応じた必要なセキュリティ対策の見直し・向上を図ってまいります。
(第四報より引用)
第二報で既に判明していた内容ではありますが、「第三者が正規のIDとパスワードを使用して不正アクセスをした」部分に対して、新ツールでは多要素認証を導入する、ここは当然の対策かと思います。
新たな機能として、ログの一元管理が書かれています。ここから読み取れるのは、ログはバラバラに記録されていた(又は取られてなかった)という事です。(そのログに対しての)監視する事で不正アクセスを早期に防止する・・・と書かれていますので、これも自然に読み取った方が多いかと思いますが、ログ(不正アクセス)は監視されていなかった事が分かります。
誤解を恐れずに言えば、ProjectWebは(外部から攻撃を受ける事が想定されていない)古き良き時代の性善説の考え方で運用していたのだと思います。
第四報では、富士通側の”再発防止策”が書かれています。こちらも裏読みしていきます。※注:以下の裏読みコメントが必ずしも正しいかどうかは分かりません
(1)運用管理の厳格化
従来実施していた年次点検では各プロジェクト部門が自主点検を実施し、その結果を第三者視点にて確認をする方法をとっておりましたが、今般、これに加えて、他社秘密情報や個人情報を保有しているプロジェクトの一部において、CISO直轄組織がサンプリングによる現物確認を実施し情報管理を強化いたします。
まず運用管理については、自主点検ベースだったと読み取れます。改善策に「現物確認を実施」とあり、従来の運用では現物確認はされてなかった事になりますので、自主点検の報告書(例えば結果ページ)だけを運用監査部門がチェックしていた、言わば”ハンコを押す”だけの運用だった事が推測されます。
(2)部門ルールの社内確認の強化
従来は、情報管理規程等の社内規程を踏まえ各プロジェクト部門が部門内の情報管理ルールを策定しておりましたが、今般、これに加えて各部門が作成した部門ルールをCISO直轄組織が第三者視点にて確認および追加・見直しを指示することにより、契約に基づいたお客様情報の適正利用を徹底いたします。
部門ルールもなかなか”痺れます”。
情報管理ルールが・・・各プロジェクトで策定できる。社内規定を踏まえるとは言え、オレオレルールでセキュリティ運用が決められたという事になりますので、アセスメント(※上記(1))がお手盛りだった場合、例えばログ監査も実施されず、何も脅威が発見されないので「現状運用で大丈夫」という結果が長く続く事で、多要素認証を導入する動機は生まれてこない、いわば今回の様なケースでは負の循環になってしまう事が想像されます。
また、最後にサラっと気になる事が書かれているのですが、”契約に基づいた”⇒「契約に基づいていなかった」と裏読みできる個所があります。
ここの文字間を読むと、各プロジェクトで策定した「オレオレルール」が、顧客のセキュリティ要件に合致してないケースもあったと解釈が出来そうです。
(3)運用状況のモニタリング
従来は、各部門における情報管理の状況について年次点検のタイミングで自主点検をもとに把握・対処をしておりましたが、今般、各部門における情報管理の状況を可視化し、各部門からもモニタリングできる仕組みを導入することにより、問題の早期発見に努めてまいります。
モニタリングは、上記(1)の事を指しているのだと思いますが、赤字部分を裏読みすると「可視化出来ていなかった」となります。
大企業故に、プロジェクトも数多動いていて、監査部門が対応しきれないといった内部事情があったのだろうなとは推察しますが、監査部門がその役割を果たせてなかったので、専任のCISOが任命される事になったのだと思いますので、可視化はもっと早く手をつけておくべき課題だったのだろうと思います。
(4)教育・周知の強化
更なる危機意識と情報管理に対する意識向上を図るべく、従来から定期的に実施している全社の情報管理教育にタイムリーかつ具体的な事例を盛り込み社内教育を強化いたします。また、定期的な社内への情報発信により、情報管理に対する啓発と周知徹底等を行います。
最後は教育。これは人的対策で必ず入ってきますので、特筆すべき点はあまりないのですが、教育が陳腐化・マンネリ化していたのだろうなと、富士通だけではないと思いますが、常にアップデートしていく事の重要性がここにも表れているなと思います。
さて、この記事を書きながら、最初に”モヤモヤ”とした「今回のリリースに、何故検証委員会の最終報告書が添付されていなかったのだろう?」という点を改めて考えていたのですが、リリース文中にヒントがある様に思えてきました。
※繰り返しになりますが、以下の推測に根拠はありません
また、これまで実施した原因調査や被害範囲の確認の妥当性等を検証すべく、客観的・技術的な観点から、内閣サイバーセキュリティセンター様等にご相談しております。(第四報より引用)
今回のインシデントでは129のProjectWeb利用ユーザーの中に公官庁なども多数含まれていましたので、NISCにセキュリティの助言を求める事について妥当性は勿論あるのですが、NISCも”被害企業の1つ”と報じられていましたので、検証委員会の「検証報告書(案)」に、当事者でもあるNISCから厳しい指摘が入った、検証報告書がまだ出ていないのに”富士通の対策案”が先に出たのは、案外そうした理由でズレが生じたからかも知れません。
富士通製ツール「ProjectWEB」への不正アクセス調査、129組織での情報流出が判明 「正規のIDとパスワードでログインされた」 - ITmedia NEWS
ProjectWEBは社内外の関係者とプロジェクトの進捗状況などに関する情報を共有するツール。5月末から6月にかけ、各省庁で流出が発覚した時点でも、国土交通省の職員ら7万6000人分のメールアドレスや外務省の内部資料、内閣サイバーセキュリティセンター(NISC)が実施したサイバー攻撃訓練への参加者の名前などの流出が明らかになっていた。
(IT Media記事より引用)
余談となります。日本を代表するIT系企業の1つである富士通が発表する大型セキュリティインシデントに関するリリースですので、セキュリティ対策の面のみならず、デリケートな部分に対する(嘘にならない程度の)”言い回し”といった所まで計算されて出されている(と思う)文章ですので、セキュリティ担当者の方には参考になる事が多いかと思いますので、第二報と今回の第四報は、一読される事をお勧めいたします。
参考:(第二報を受けての)前回記事
foxsecurity.hatenablog.com
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴