ゼロからはじめるシステム開発

　こんにちは！
　ナビゲータのEVEです。

2024年度版　ALL　IN　ONE　パーフェクトマスター　情報処理安全確保支援士 [ TAC株式会社（情報処理講座） ] 価格:3,080円 (2023/8/27 18:05時点) 感想(0件)

　本日も、情報処理安全確保支援士講習を受講しています。単元1で早速、既に解決済みではありますが、セキュリティインシデントの報告資料がありました。記憶に新しいところでは、CAPCOMなんかもその一例として紹介されていますが、本日は、国立研究開発法人産業技術総合研究所(以降「産総研」)で発生した。標的型攻撃を深掘りしてみたいと思います。

[どんな事例]
　産総研で発生したのは、標準的な標的型攻撃です。クラウド上のメールシステムから社内に、時間をかけて侵入し、同研究所の個人情報及び研究成果等を搾取したという事件です。

[事件の印象]


　まっ、多くの組織でみられるような体制で、その体制の脆弱性を利用され侵入された事件だと思いました。ただ、CSIRTを整備し、かつ、NISC、JPCERT/CCなどと密に連携しているという記述からは、ちょっと、想像できない事件です。

[今回の問題]
　資料の全ての情報を網羅するのは難しいので、対策から見た今回の事件について考察してみたいと思います。以下が、2017年に発生した事件対応です。



　以上の対策を取っているのですが、気になるのが、❶メールサーバーです。
　攻撃を受けた当時なのですが、このメールサーバーは外部(クラウド)にあるうえに、同メールサーバーへのログイン情報が内部ネットワークと常に連動していたのです。この内部ネットワークの認証情報との同期は、ハッキングされたらすぐに内部で自由にいろいろなリソースにアクセスできることを意味しています。
　ただ、リリース当初は、VPNにより内部ネットワークの位置づけで使用していたようです。しかし、利便性の向上からVPNを廃止しインターネット上に露出することにより発生しています。VPNの使い方とか、VPNの解除後の状態が想像通りか不明ですが、想像通りなら、誰か止める人はいなかったのでしょうか？
　IPAの午後の試験では、メールサーバーは、DMZ上にあるメールサーバーと、内部メールサーバーの2種類のサーバーがあるのが通常です。このような構成にする理由は、メールアドレスを直接攻撃されないためです。産総研では、認証サーバーとメールサーバがどう運用されていたか、詳細な記載がないので憶測でしか語れないのですが、多分、認証サーバーがインターネットに露出する形で運用されていたと想像されます。
　ペリメトリーセキュリティペリメーターセキュリティという観点からいうと、このような運用は考えにくいです。ただ、現在は、ゼロトラストが主流となっています。時代を先取りしていたということでしょうか？そうだとしても、ハッキングされている状態では、無理があったネットワーク構成だったということでしょう？

[他に気になる点]
　PDFのページとしては50ページあり、短い時間では読み切れていないかもしれませんが、読んで以上のようなことを感じました。見直し後のネットワークですが、多要素認証等の強固な認証技術を主要なシステムに導入するといった記述が気になりました。社内に複数のシステムがある場合、シングルサインオンを導入している企業もあるのに、本来の仕事に影響しないかちょっと、気になりました。
　あと、ログなどの監視体制を充実し、かつ、組織のネットワークをセグメントに分離するという記述がありますが、かなり、運用に負荷がかかる体制となっています。人員が確保できればいいのですが、このような場合導入しただけというケースも見てきたので、どうなっているのかな？っと気になりました。

[あとがき]
　攻撃から、搾取されている状況まで後日このような形で報告できる体制になっているのは、非常に驚きました。今まで私が務めた会社では難しいと感じたからですが・・・。まっ、国立の研究機関ですから当然ですか(笑)？
　結果論でいうのは簡単なのですが、日々の多忙な業務をこなしたうえで、体制を作る難しさは非常に分かります。今回のケースからいろいろなことを学ぶことができ、事件をこのような形で報告していただき大変感謝しています。
　今後のシステム開発に役立てたいと思います。

　では、また！

■産総研の情報システムに対する不正なアクセスに関する報告(国立研究開発法人 産業技術総合研究所)
https://www.aist.go.jp/pdf/aist_j/topics/to2018/to20180720/20180720aist.pdf