事故から学ぶ

富士通の情報共有ソフト不正アクセス 国交省などでも情報漏洩

事故概要

業種 内閣府
発生時期 2021/5/26
漏えい人数 76000
事故概要

官公庁や企業で幅広く使われている富士通の情報共有ソフトに不正アクセスがあった問題で、このソフトを利用している国土交通省や内閣官房でも情報漏洩があったことがわかりました。国土交通省では職員など少なくとも7万6000件のメールアドレス、内閣官房ではサイバーセキュリティセンターのシステム機器に関するデータの流出が確認され、富士通はソフトの運用を停止し影響を調査しています。
富士通が開発した「ProjectWEB」と呼ばれる、プロジェクト情報を共有するソフトは官公庁や企業などで幅広く使われていますが、不正アクセスを受け、このソフトを利用している成田空港で航空機の運航管理に関する情報などが盗まれたことが今月20日、成田空港会社の発表で明らかになりました。
この問題で国土交通省は26日
▽省の職員や業務でやり取りのある関係者少なくとも7万6000件のメールアドレスや
▽省内のメールシステムやインターネットの設定に関する情報などが流出したことを確認したと明らかにしました。
また、内閣官房の内閣サイバーセキュリティセンターでも、このソフトへの不正アクセスで、センター内の情報システムがどういった機器で構成されているかを示すデータなどが流出したことが確認されたということです。
内閣サイバーセキュリティセンターは「流出した情報をもとに攻撃されないよう対策を講じたが引き続き警戒を強化したい」と話しています。
富士通はこのソフトの運用を一時停止したうえで影響の範囲の調査にあたっていて、中央省庁も含め複数の組織で不正アクセスと情報の流出が確認されたことについて「本事案を重く受け止め関係当局への相談を進めるとともに、被害に遭われたお客様の支援に全力で努めてまいります」とコメントしています。
外務省も外部流出を発表
外務省は富士通に提供した資料などが外部に流出していたと発表しました。
外務省によりますと、流出したのは外務省が推進するデジタル関連の政策実現に向けた検討資料で、一部に個人を特定できる情報が含まれていたことから、該当者に事実関係を連絡したということです。
ただ、外務省のシステムや業務への影響は確認されておらず、外務省は富士通に対し原因の究明と再発防止の徹底を申し入れたということです。
問題のデータ共有ソフト 外部からのアクセス可能
今回、不正アクセスを受けた富士通のソフト「ProjectWEB」は、行政機関や企業、それに研究所などで、富士通が委託を受けて業務システムを構築したり、運用したりする際に、関係するシステムエンジニアや、協力会社のプログラマーなどがデータを共有するために使われるものです。
進捗(しんちょく)の確認のために、委託元の組織の担当者が利用することもあるということです。
データは、富士通のデータセンターに保管され、インターネットを使って、外部からアクセスが可能で、組織の枠にとらわれず、関係者がデータを共有できるのが特徴で、保管するデータは、組織によってさまざまですが、システムの運用に欠かせないデータが保管されることがあるということです。
富士通によりますと、平成21年の時点では、行政機関や企業など3000か所でソフトが使われていましたが、現在の顧客の数は非公表だとしています。
専門家「迅速な情報共有と対処を」
情報システムやセキュリティーに詳しい、国立情報学研究所の高倉弘喜教授は、今回、中央省庁や空港で不正アクセスが相次いだことについて、「多くの組織にシステムを任されている業者が攻撃されたことで、さまざまな組織に被害を及ぼしたことが恐ろしく、中央省庁のシステムの運用に関わる重要な情報を保管する場所がねらわれたことは深刻に受け止めるべきだ」と指摘しています。
流出した情報の中には、組織の中の重要なシステムを構成する機器などのデータも含まれていて、「こうした情報は、攻撃者にとって、どこをねらってどう攻撃するかを検討する材料となりえ、次のサイバー攻撃につながることを危惧している」と話しています。
今回、ソフトを開発・運用していた富士通については「重要なデータを丸ごと取られないように、こまかくアクセス管理したり、必要以上のデータの持ち出しを検知するなどの対策を取るべきだ」としたうえで、「今回、まず、成田空港で不正アクセスがあったことが明らかになってから、その後、情報の共有が遅かったのではないか。被害の範囲や原因が分からない段階でも新たな攻撃を招かないよう、情報を素早く公表して対象となる組織が対応を取れるようにすべきで、今後も、流出した情報の内容や原因について、しっかりと情報公開すべきだ」と話しています。

一方、富士通にシステムを委託している中央省庁などの組織については「安全管理を業者任せにせず、自分の組織でどのような情報を共有しているかや何が漏れたらいちばんまずいかをあらかじめ把握し、攻撃を受けた際に、被害を最小限におさえ、仕事を継続する対処法を日頃から練っておく必要がある」としています。

そのうえで「日本では、ITのシステムがトラブルに見舞われた際に、委託元の組織が委託先を非難して責任を押しつけるようなケースもしばしば見受けられるが、巧妙化する攻撃に対処するには日頃からコミュニケーションを密にして情報共有をスムーズにはかっておくことが重要だ」と話していました。

引用元 NHK

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-1(第20条)安全管理措置システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
メールを介したウイルス感染防止として操作者教育と管理を徹底していますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

クラウドサービスだからといって不正アクセスを完全防御できるわけではない。重要資産を扱うサービス会社は金になるため最新の手口で集中的に攻撃を受けている。攻撃を受け続けていることへの防御策と、攻撃を突破されたさいの対応策は別物であり、特に後者は被害を最小限度に抑えるために利便性に制限があっても暗号化などの対策は必須である。選択の余地はない。

具体例:

クラウドサービスだからといって安心できない。
不正アクセスによる被害を防止するためには、入り口対策、サーバ内部対策、ファイル等を抜き取れないようにする出口防御対策の3面で行う必要がある。最近の不正アクセスは、ゆっくりと間をあけ、時々アクセスする形を取り、またIPアドレスもいくつも使い分け、一度失敗した手口は同じサイトには使わない、など、手間暇をかけて攻撃をしてくる標的型アクセスが増えてきた。狙いを定め侵入するまで手法を変えてくるため、防ぐのは中々厄介である点に注意がいる。ファイルの抜き取りも小口に分けて時々送信する形をとる。これにより入口、出口ともシステム感知がしにくい状態になる。サーバ内部対策はファイルへのアクセス制限とファイル自体の暗号化をしておくことである。不正アクセスにより犯罪者の手でファイルを暗号化されてしまうことがあるが、自らの手で暗号化しておけば万一抜き取られたときに、犯罪者に読み解かれるリスクは軽減される。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。