他社のシステムに侵入する『ペネトレーションテスト』を業務とする筆者が、
攻撃者の目線でセキュリティ対策について考えます。
株式会社トライコーダ 代表取締役 上野 宣 氏
奈良先端科学技術大学院大学で情報セキュリティを専攻。2006年に株式会社トライコーダを設立。ハッキング技術を駆使して企業などに侵入を行うペネトレーションテストや各種サイバーセキュリティ実践トレーニングなどを提供。
ビジネスの世界において「情報を制するものが戦いを制す」というのは、古くから言われている言葉です。ビジネスに関連する情報を扱うシステムは多岐にわたっていて、顧客情報や商談状況などの業務管理を行うCRM(顧客関係管理)システムや、開発などのプロジェクトの進捗状況やドキュメントなどを管理するシステム、社員がやりとりした名刺を管理するシステムなど、さまざまなものがあります。
従来、それらは社内ネットワークか、PC上で動作するデスクトップアプリケーションのみでの利用でしたが、昨今ではインターネット経由で利用できるものが大半ではないかと思います。
社外のどこからでも業務に必要な情報にアクセスできる便利さは、出先や出張時にも役立ちますし、昨今のリモートワーク時代にも有益です。早い時期からこういったシステムを導入していた会社は、コロナ禍で社員が在宅勤務になったときも比較的スムーズに移行できたのではないでしょうか。
それだけではなく、インターネット経由でアクセスできる業務情報共有システムには、顧客情報や機密情報をPCやUSBメモリなどの媒体に入れて持ち出した際に発生する可能性のある、紛失や媒体の盗難による情報漏洩を防ぐセキュリティ上の効果も期待できます。
ビジネスを円滑にする業務情報共有システムですが、攻撃者はどのように悪用するのでしょうか。
成田国際空港株式会社(以下、成田国際空港)は、業務委託先の富士通株式会社(以下、富士通)が運用管理を行っているプロジェクト情報共有ツール「ProjectWEB」に不正アクセスがあったことを2021年5月20日に公表しました。運行情報管理システムに関する資料がダウンロードされ、外部に流出した可能性があることも明らかにしています。事件は富士通が5月17日に不審なアクセスログを確認したことから判明しました。
なお、成田国際空港は運行情報管理システム自体はインターネットに接続しておらず、不正アクセスを受けた形跡はないと説明しています。
本件の影響は成田国際空港だけではなく、富士通が「ProjectWEB」を利用してプロジェクト管理を行っていたほかの組織にも及びました。2021年5月26日には、内閣官房内閣サイバーセキュリティセンターや国土交通省、外務省等が省内のシステム関連情報などの流出を発表しています。
「ProjectWEB」は、富士通が委託を受けて業務システムを開発する際に、関係するエンジニアや協力会社などがデータを共有する目的で使います。富士通のデータセンターに保管されたデータは、外部からのアクセスが可能なシステムだったようです。不正アクセスの原因は、管理者アカウントが侵害された可能性と報じられていますが、もちろんアクセス制御などは設定されていたようです。
これは何も富士通だけの問題ではありません。ビジネスでは他社の情報を預かることはいくらでもあるので、こういったシステムの利用は欠かすことができません。しかし、顧客情報や顧客の重要システムに関連する情報などが含まれているため、その管理には高いレベルのセキュリティが求められます。契約書でいくら守秘義務を結んだところで、システムやその管理に問題があったのでは情報を守ることはできないのです。
システムへの侵入というと、攻撃者が脆弱性を利用した攻撃コードを開発して華麗に侵入するといった様子を思い浮かべるかもしれません。しかし、筆者が実施するペネトレーションテストでは、脆弱性を利用することはもちろんありますが、認証やアクセス制御の失敗を発見してそれを狙う方がはるかに多いのです。管理者アカウントのパスワードが脆弱だったり使い回しであったり、付与されているアクセス権限が一律で、どのファイルに誰でもアクセスできてしまうなど、失敗例はさまざまです。そのシステムの利用者のアカウントを誰か1人でも手に入れることができれば、格納されているすべての情報にアクセスできたり、芋づる式に管理者権限までたどり着いたりすることもあります。
情報を守る上で重要なのは、情報ごとに細かく権限管理を行うことです。しかし、厳密な権限管理は煙たがられることも多く、最初は厳しく運用されていたとしても、なし崩し的に緩くなっていき、全体の管理状況を誰も把握していないといったこともしばしば見かけます。攻撃者はこのみんなが面倒だと思って放置している権限管理の穴を狙うのです。
面倒な権限管理やID管理ですが、最近はID管理をクラウドで行うIDaaS(IDentity as a Service)なども普及し始めていて、システムごとのID管理やアクセス制御などの煩雑さを減らすことができます。業務情報共有システムとして複数のクラウドサービスを利用しているところなどは、ID管理を社員一人ひとりに任せず、IDaaSなどを使って管理しセキュリティレベルを保つこともできます。またID管理だけではなく、正規の権限者であったとしてもデータの持ち出しなどがあれば検知でき、アラートが発報されるといった対策も有効です。
この事件で不正アクセスされたのは富士通で利用されているシステムでしたが、攻撃者の本当の狙いは何だったのでしょうか。実は富士通自体がターゲットではなかったのかもしれません。富士通が手がけるシステム開発は多岐にわたっています。その業務情報共有システムには、攻撃者が狙っている本当の目的が達成できる“他社”の情報が入っていたのかもしれません。
「攻撃者の目的は何なのか」今一度考えてみてください。あなたの組織ではどのような情報共有をしていますか?漏洩したらまずい情報は何があるのかを把握しておく必要があります。
(「SKYSEA Client View NEWS vol.80」 2021年9月掲載)
テレビCM
SKYSEA Client Viewコラム
