ナビゲータのEVEです。
2024年度版 ALL IN ONE パーフェクトマスター 情報処理安全確保支援士 [ TAC株式会社(情報処理講座) ]
価格: 3,080円
(2023/8/27 18:05時点)
感想(0件)
本日も、情報処理安全確保支援士講習を受講しています。単元1で早速、既に解決済みではありますが、セキュリティインシデントの報告資料がありました。記憶に新しいところでは、CAPCOMなんかもその一例として紹介されていますが、本日は、国立研究開発法人産業技術総合研究所(以降「産総研」)で発生した。 標的型攻撃 を深掘りしてみたいと思います。
[どんな事例]
産総研で発生したのは、標準的な標的型攻撃です。クラウド上のメールシステムから社内に、時間をかけて侵入し、同研究所の個人情報及び研究成果等を搾取したという事件です。
[事件の印象]
まっ、多くの組織でみられるような体制で、その体制の脆弱性を利用され侵入された事件だと思いました。ただ、CSIRTを整備し、かつ、NISC、JPCERT/CCなどと密に連携しているという記述からは、ちょっと、想像できない事件です。
[今回の問題]
資料の全ての情報を網羅するのは難しいので、対策から見た今回の事件について考察してみたいと思います。以下が、2017年に発生した事件対応です。
?メールシステムへのログイン
メールシステムへのログインについては、外部からはVPN 接続を必須とする運用とし、さらに、内部ネットワークからログインする場合でも、一定期間ごとに二段階認証を求めるよう認証方式を強化した。
?ファイアウォール内から外部へ接続するサーバ
用途と通信先を精査し、必要性と安全が確認できないサーバ等は全て遮断した。
?管理者パスワードの作成及び保管方法、並びにファイル暗号化時の鍵の作成方法及び保管方法
有効なパスワードの設定方法、管理方法を検討し、情報基盤部で運用開始するとともに、外部委託業者に周知・徹底した。
?外部委託業者の老朽化したサーバ
老朽サーバは廃止し、最新の OS を載せた新規のサーバに交換した。
?脆弱性が指摘された NAS使用を中止し、研究部門から回収した。
?統合ネットワーク監視
既に導入していた統合ネットワーク監視における SIEM の自動検知ルールを見直し、不正な通信が内部で発生した場合にもすぐに検知できるよう、内部通信の監視を強化した。
?管理用ネットワーク内のサーバのアクセス制限
全てのサーバにアクセス権限を設定するとともに、分離用のネットワーク機器を新たに追加し、これによって業務用ネットワークを研究用ネットワークから切り離した。
【今後取り組む抜本的対策】
? 多要素認証等の強固な認証技術を、内部システムのうちイントラ基盤システム等の重要なシステムにも導入し、破られにくく、かつ攻撃が検知可能な認証システムを導入する。
?研究用ネットワークをセグメント分離できるネットワークを構築する。さらに、セグメント間の通信を制御できるようネットワーク構成を抜本的に見直す。
?侵入や拡散の即時検知のため、内外を通過するファイアウォールの監視、セグメント間の内部通信監視を導入する。
?重要システムにおいては、必要十分なログを蓄積し、不正なアクセスの分析・解析ができるシステムを導入する。また、侵入時にログ等の証跡が消去されないよう、ログの冗長化や遠隔保存等の仕組みを導入する。
出展元:国立研究開発法人 産業技術総合研究所
以上の対策を取っているのですが、気になるのが、?メールサーバーです。
攻撃を受けた当時なのですが、このメールサーバーは外部(クラウド)にあるうえに、同メールサーバーへのログイン情報が内部ネットワークと常に連動していたのです。この内部ネットワークの認証情報との同期は、ハッキングされたらすぐに内部で自由にいろいろなリソースにアクセスできることを意味しています。
ただ、リリース当初は、VPNにより内部ネットワークの位置づけで使用していたようです。しかし、利便性の向上からVPNを廃止しインターネット上に露出することにより発生しています。VPNの使い方とか、VPNの解除後の状態が想像通りか不明ですが、想像通りなら、誰か止める人はいなかったのでしょうか?
IPAの午後の試験では、メールサーバーは、DMZ上にあるメールサーバーと、内部メールサーバーの2種類のサーバーがあるのが通常です。このような構成にする理由は、メールアドレスを直接攻撃されないためです。産総研では、認証サーバーとメールサーバがどう運用されていたか、詳細な記載がないので憶測でしか語れないのですが、多分、認証サーバーがインターネットに露出する形で運用されていたと想像されます。
[他に気になる点]
PDFのページとしては50ページあり、短い時間では読み切れていないかもしれませんが、読んで以上のようなことを感じました。見直し後のネットワークですが、 多要素認証 等の強固な認証技術を主要なシステムに導入するといった記述が気になりました。社内に複数のシステムがある場合、 シングルサインオン を導入している企業もあるのに、本来の仕事に影響しないかちょっと、気になりました。
あと、ログなどの監視体制を充実し、かつ、組織のネットワークをセグメントに分離するという記述がありますが、かなり、運用に負荷がかかる体制となっています。人員が確保できればいいのですが、このような場合導入しただけというケースも見てきたので、どうなっているのかな?っと気になりました。
[あとがき]
攻撃から、搾取されている状況まで後日このような形で報告できる体制になっているのは、非常に驚きました。今まで私が務めた会社では難しいと感じたからですが・・・。まっ、国立の研究機関ですから当然ですか(笑)?
結果論でいうのは簡単なのですが、日々の多忙な業務をこなしたうえで、体制を作る難しさは非常に分かります。今回のケースからいろいろなことを学ぶことができ、事件をこのような形で報告していただき 大変感謝 しています。
今後のシステム開発に役立てたいと思います。
では、また!
■産総研の情報システムに対する不正なアクセスに関する報告(国立研究開発法人 産業技術総合研究所)
https://www.aist.go.jp/pdf/aist_j/topics/to2018/to20180720/20180720aist.pdf