政策研究大学院大学(以下、「大学」)は、2022年8月に明らかになった不正アクセスの調査報告書を2023年8月に公開した。報告書には不正アクセスに至った経緯や要因が細かく記載されており、組織の経営者やサイバーセキュリティ部門の管理者・現場担当者にとって非常に参考になる。最近の攻撃手法や統計を織り交ぜながら報告書を振り返り、効果的なセキュリティ対策を紹介する。
(出所:123RF)
8カ月にわたって学内ネットワークをインターネットから遮断
インシデントの概要は以下の通りである。
- 2022年8月29日のメンテナンス作業中、公開Webサーバーから学内サーバーへの不審なログ(通信記録)を偶然発見した。大学側はすぐにWebサーバーを停止したが、その後も不審なログは断続的に発生した。
- CISO(最高情報セキュリティ責任者)およびCSIRT(コンピューターセキュリティインシデント対応チーム)の判断により、2022年9月3日に大学のインターネット接続を遮断した。
- 攻撃者は、Webサーバーを遠隔から操作する「Webシェル」と呼ばれる手法を使用し、Webサーバーを乗っ取り、学内のサーバー10台と端末2台に次々と侵入。調査の結果、大学は攻撃により全ユーザーのIDやパスワード、学内ネットワークの詳細情報が攻撃者に知られた可能性はあるものの、機密性の高い情報や個人情報の漏洩の可能性は低いと判断した。
- 原因究明、復旧、再発防止策が実行されるまでの約8カ月にわたり、学内ネットワークをインターネットから切り離した。暫定措置として、学生や職員にはインターネット接続用のモバイルルーターを配布したものの、手元のルーター経由でしかインターネットに接続できなくなった学生や職員は大きな不便を強いられた。
では、このインシデントにはどのような要因があったのか、主なものを見ていこう。
人員と予算の不足からセキュリティ対策はITベンダーに「お任せ」
まずは体制についてである。報告書では、執行部は情報システムに関する予算とリソース整備を軽視しており、総務部兼任の情報システム担当者が1人で10台以上のサーバー、100台を超える端末、SaaS(Software as a Service)やレンタルサーバーなどインターネット上のシステムの企画・運営を実施する体制だったと述べている。その結果、システムの運用を保守委託先ITベンダーに「ほとんどを任せる形で運営」(報告書)していく状況となってしまっていた。
日々の業務で手いっぱいの状況では、情シス担当者がサイバーセキュリティの知見を深めたり、新たなサイバー攻撃の情報収集に時間を割いたりすることは難しい。このため、システムの仕様書に適切なセキュリティの要件を盛り込むことも難しくなる。その結果、セキュリティの要件は「委託先ITベンダーの善意に期待するものとなっていた」(同書)。また、保守委託先ITベンダーに対しても十分な管理監督を実施できなかった。
