NTT Comの不正アクセス事件の第2報が出ていました。内容を見るといわゆる裏口から不正侵入されていた事も書かれており、正直驚きました。
japan.zdnet.com
公式発表
NTTコミュニケーションズは7月2日、5月28日に公表した同社設備への不正侵入と一部情報の外部流出の可能性について、新たにBYOD端末からのリモートアクセスを通じた経路での侵入も判明したと発表した。情報の外部流出の可能性についても83社分が新たに判明したとしている。
同社によると、調査で新たにVDIサーバーを経由して一部の社内ファイルサーバーへの不正アクセスが確認され、社内ファイルが閲覧された可能性があることが5月26日に判明した。リモートアクセスを利用したBYOD端末からの不正アクセスが判明し、全てのBYOD端末とシンクライアント専用端末のリモートアクセス環境を即時に停止し、同時に、全社員のパスワードも変更したという。
(ZDNet記事より引用)
キタきつねの所感
NTTコミュニケーションズは、サプライチェーン(シンガポール拠点)経由での不正アクセスだけでなく、社員のリモートアクセス(RDP)環境も攻められていたという、何とも驚きの発表でした。
攻撃者が巧妙であったと考えるべきだとは思うのですが、他社の仕事を請け負っていたNTTコミュニケーションズの立ち位置を考えれば、2経路目の不正侵入を、まったく検知できなかった点については、油断しすぎだったのではないでしょうか。
公式発表(第2報)の図に追記してまとめると、下記の様になりました。
2つの経路での漏えいの発表の中で、左側の621社→704社はフォレンジック調査で精査した事による情報漏えい対象会社の増加です。流出した可能性があるのは、主に工事用情報ですので、防衛省や、新たに情報流出が確認された海上保安庁等の、もしかするとその情報が国防上機微な扱いになるデータも含まれている可能性がありますが、第1報の影響範囲からそれほど変わってないかと思います。
問題なのがBYOD(裏口)ルートです。不正アクセスが判明した時期から考えると、NTTコミュニケーションズも新型コロナ禍で多くの社員がテレワーク移行していたと思われます。その取り組みについては、以下の記事でも先進事例として取り上げられています。
internet.watch.impress.co.jp
NTT Comでは、セキュアに業務ができる環境を構築するためのソリューションとして「セキュアドPC」を提供しており、これを自社でも導入することで、以前からリモートでも業務をできる環境を整えていました。
ただ、従来は在宅勤務ができる回数を週2回、月8回までに制限していたのですが、新型コロナウイルスが発生したあと、2月17日から当面の間、上限を撤廃しています。また、従業員は原則として在宅勤務となっており、多くの従業員がほぼ出社せずに業務を行っています。
4月10日時点では、NTT Com単体の従業員7000名のうち約80%が毎日テレワークで働いているという状況です。
(Internet Watch記事より引用)
「セキュアドPC」については、別な記事があったのでそちらの内容を引用しますと、
customers.microsoft.com
「セキュアドPC」は、高度なセキュリティを備えたファット クライアントです。端末とクラウドで実現したセキュリティ対策、トレーサビリティを確保する監視体制など、最新のテクノロジーを組み合わせることによって、セキュアドPC は、PC としての使い勝手はそのままに、シン クライアントと同水準のセキュリティを保つことを可能にしています。
(中略)
「シン クライアントに劣らないセキュアな環境を実現させるために、セキュアドPC には大きく 3 つの仕組みを持たせています。1 つ目は、エンドポイントとなる PC 自体の多層防御。2 つ目は、SSL-VPN とクラウドプロキシの活用による、セキュアな通信。そして 3 つ目が、SOC による厳格なセキュリティ マネジメントです。エンドポイントから通信に至るすべてを監視することで、脅威の侵入を最小化し、悪意ある攻撃を即座に遮断できるしくみを構築しているのです」
(マイクロソフト社お客様事例記事より引用)
今回不正アクセス被害を受けたのはBYOD(Bring Your Own Device/社員の私用端末)端末経由と発表されています。上記の記事は2018年のものですが、記事に書かれているセキュリティ対策をBYODで考えると、PC自体の多層防御の部分に脆弱点があった可能性を感じます。
例えば、アンチウィルス対策ソフト1つを取っても、少なくても2つのBYOD課題が思い浮かびます。(一般的に想像される課題であってNTT Comの環境がそうであった事を指す訳ではありません)
①アンチウィルス対策ソフト費用負担(会社/社員個人)
・社員がアンチウィルスソフトを自費購入していた場合の取り扱い
・社員がアンチウィルスソフトを導入と虚偽申請し、未導入時の取り扱い
②アンチウィルス対策ソフト、Windowsの最新化
・社員が常駐監視を切っていた場合の対応
・ソフトの更新ファイルやパターンファイルが最新でない場合
以下根拠はありません(個人の意見です)が、仮に①や②に問題があり、BYOD接続を行う社員の端末が、ウイルスに侵害されたと想像した場合、認証情報の窃取、あるいは社員が正規にアクセスしている際のVDI投影情報の盗聴等、今回の企業情報漏えいを引き起こすに近い状況まで達成できる可能性を感じました。
今回のNTT Com側の対策案を見てみると、以下の事が書かれています。
3.今後の対応
今回の事象を踏まえ、影響範囲の特定に時間を要したなりすまし攻撃への対策として、攻撃者の振る舞いを可視化するUEBAを導入し、侵入検知までの時間短縮を図るとともに、再発防止に向けてエンドポイントセキュリティを強化するEDRの導入や、ゼロトラストを基本とするセキュリティ対策をさらに加速させます。
加えて、社内ファイルサーバーにおける情報管理ポリシーの徹底を図るとともに、セキュリティ対策の有効性を検証するRed Teamを強化し、社内IT/OTに対するTLPTを継続的に実施することで、より一層のサービス品質の向上を図ってまいります。
(公式発表より引用)
余談ですが、私が企業のインシデント発表で注目している点は、原因部分と、対策案です。対策案は、当然の事ながら、これからやろうとしている事が書かれます。
つまり、そこに書かれている事は原因を潰すために必要であった直接/間接的な対策が含まれる訳ですか、見方を変えると、企業側が「やってななかった」と言う「反省文」に他なりません。
それでは今回の「反省文」をじっくりみていきます。 ※( )はキタきつねの想像コメントです。
①「攻撃者の振る舞いを可視化するUEBAを導入・・・」
>UEBAは導入していませんでした
(振る舞い検知が出来て無かった/見逃しました)
※UEBA=ユーザーの行動分析(リスク検知)
②「侵入検知までの時間短縮を図る・・・」
>侵入検知が遅すぎました
(リモート接続経由での不正侵入は再調査で初めて気づきました)
③「エンドポイントセキュリティを強化するEDRの導入」
>EDRは導入していませんでした
(エンドポイントは脆弱でした)
※EDR=PCやサーバーにおける不審な挙動を検知
④「ゼロトラストを基本とするセキュリティ対策をさらに加速・・・」
>ゼロトラストは部分的にしかできていませんでした
(正規のアクセスを装った攻撃を防げませんでした)
⑤「社内ファイルサーバーにおける情報管理ポリシーの徹底を図る・・・」
>社内ファイルサーバーの情報管理ポリシーに問題がありました
(権限管理に問題がありました)
⑥「セキュリティ対策の有効性を検証するRed Teamを強化し・・・」
>Red Teamを強化する必要があります
(Red Teamによる検証は未実施または機能しませんでした)
⑦「TLPTを継続的に実施する・・・」
>TLPTが実施されていましたが、継続性がありませんでした
(脆弱性テストが【最近】実施されていませんでした)
※TLPT=攻撃シナリオにも基づく疑似的な攻撃実施
この対策内容から浮かび上がってくる(想像できる)のは、BYODのエンドポイント対策が不十分で接続させており、社内からのアクセスという事で、内部アクセスに対する監視が緩く、またその行動が十分に把握されてなかった、という状況です。
NTT Comの上記InternetWatchやマイクロソフトの記事を見ていると、BYODの事は一切書かれていません。この事から推測すると、本来は原則「セキュアドPC」で外部接続するルールになっていた所を、何らかの理由(業務)で「BYOD」を認めてしまったのではないでしょうか?
その際に、(一般的には)リスクアセスメントを再度行う必要があったかと思いますが、社員のアクセスを「ゼロトラスト」ではなく、「社員トラスト」で認めてしまった、あるいはアセスメント、セキュリティルールを簡素化してしまった。そんな可能性を感じます。
そうした事が無いと、RDP接続(※この接続は、予防措置で全社員のパスワードリセットが行われていた事から、一般社員のテレワークでも使われていたと推測されます)で、「BYOD端末」だけが不正アクセス被害を出した、と発表はされなかったと思います。
時期的には「5月上旬」ですので、新型コロナ禍で多くの日本企業がセキュリティを緩めた時期に、NTT Comも従業員のテレワーク(特定業務)を考えて、例外運用を認めた事によって、このルート(裏口)からの不正侵入(インシデント)につながってしまった、そんな可能性を感じました。
更に余談です。NTTコミュニケーションズの(上手な)広報戦略な気がしましたが、もう1点気になる所が公式発表にあります。
また、上記の調査過程において、新たにVDIサーバー経由で、一部の社内ファイルサーバーへの不正アクセスが確認され、社内ファイルが閲覧された可能性があることが5月26日に判明しました。
(公式発表より引用)
閲覧されたファイルがどれだけ機微な情報を含んでいたのかが分からない程度に、さらっとと書かれています。一見工事情報を指してそうに思えますが、「社内ファイルサーバ群」とかなり大きなデータを保有していたと思われるだけに、不正閲覧された情報の中に、機微情報があったのではないか?と考えてしまうのですが、恐らく開示されないだろうと下記を読んで感じます。
新たにお知らせすべき内容が判明した場合、速やかに情報を開示してまいりますが、個別のお客さまに関する情報の開示は、機密保持の観点から差し控えさせていただきます。ご理解賜りますよう、よろしくお願い申し上げます。
(公式発表より引用)
因みに、日経XTECHの記事では、
社内ファイルサーバーにある188社の顧客情報が閲覧された可能性があるという。顧客情報にはそれぞれの顧客が契約しているサービス情報、提案書、工事情報、連絡先、営業資料などが含まれている。
(日経XTECH記事より引用)
と、機微な情報を伺わせるものは書かれていませんでしたが、「サーバ」ならともかく、「サーバ群」で管理する必要があるデータ量かな・・・と考えると、これ以上情報公開される事はないのだろうと思いますが、「など」の中身が気になる所です。
※7/4追記:こうしたインシデント記事を書いていると、推測でモノを書くな、といったご意見をたまに頂いたりします。当方の情報収集・知見不足による間違いのご指摘については反省し、記事訂正をする場合もありますが、その時点で公開されている(少ない)情報を元に、個人の意見(所感)を書いているブログですので、誤解や間違いがある程度含まれてしまっている事もありえる点については、ご理解頂けたら幸いです。
参考:前回記事
foxsecurity.hatenablog.com
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
