富士通 ProjectWEB はディスコン:日本政府におけるデータ侵害の顛末

Fujitsu pins Japanese govt data breach on stolen ProjectWEB accounts

2021/12/09 BleepingComputer — 富士通によると、5月に発生した情報漏えいインシデントにおいては、同社の情報共有ツール ProjectWEB の脆弱性が利用され、正規ユーザーのアカウントが盗み出され、日本の政府機関が所有する専有データへの不正アクセスが生じたとのことだ。その当時に、日本の National Cyber Security Center (NISC) と Ministry of Land は、ProjectWEB を利用した情報漏えいインシデントにより、少なくとも 76,000件の電子メール・アカウントに不正アクセスが生じたことを明らかにしていた。

このインシデントを受けて、内閣官房の NISC は、富士通の ProjectWEB を利用している政府機関や重要インフラ機関に対して、不正アクセスや情報漏えいの兆候がないかを確認するよう呼びかけていた[1, 2]。

5月の不正アクセスの背景には、クレデンシャルの盗難があった

今年の5月に富士通は、同社の ProjectWEB を利用している政府機関や重要インフラ企業が、不正アクセスや情報漏えいの兆候を確認したことを明らかにした。さらに、内部調査の結果、攻撃者は正規ユーザーの ProjectWEB アカウントを盗用し、不正にアクセスしていたことが判明した。これにより、攻撃者は紛れ込み、検知を逃れることができた。

富士通は、「今回の不正アクセスが生じた理由は、ProjectWEB のアカウントが不正に取得され、正規のユーザーが通常に用いる認証/通信の手段でツールにアクセスされ、正規の ID/PW が不正に取得された点にある。現在、外部の専門家で構成される委員会により、今回のインシデントの原因と当社の対応について追加検証を行っている」と述べている。

ProjectWEB のディスコン

富士通は、今回のインシデントが発覚した後に、ProjectWEB ポータルを停止/廃止し、ゼロトラストの考え方に基づき開発された、新しいプロジェクト情報共有ツールの導入/移行を進めている。富士通は、「今回のインシデントで提起された問題に対応し、ゼロトラスト・プラクティスの強固な情報セキュリティ対策を施した、新しいプロジェクト情報共有ツールを導入し、プロジェクト管理業務を新ツールに移行していく予定だ」と述べている。

今回のインシデントは、2020年12月中旬以降に生じた、Accellion の File Transfer Appliance (FTA) を標的としたハッキング・キャンペーンと酷似している。このインシデントにより、銀行/政府機関/ハイテク企業などの、数百の顧客組織に影響が生じた。

富士通のコメント「正規のユーザーが通常に用いる認証/通信の手段」を見る限り、システムではなく運用に問題があったのかと推測してしまいます。そして、ProjectWEB はディスコンになって、ゼロトラスト対策を施した新しいプロジェクト情報共有ツールが提供されるようですが、それでなんとかなるのかなぁ・・・と、ついつい思ってしまう事の顛末です。

%d bloggers like this: