ラックは5月13日、企業の経営層と情報システム管理者に向けて、自組織内でのサーバのアクセス管理状況を早急に確認することを推奨する注意喚起情報を公開した。インターネットに接続されたサーバから取引先情報や社員の個人情報などが意図せず公開されているとみられるケースを複数確認したために行ったもの。詳細はこちらで解説されている。
ラックでは、インターネット上で行われているサイバー攻撃やコンピュータウイルスなどの不正ソフトの存在を調査している過程で、国内約3400の組織と個人において、ファイルをやり取りするための「ファイル転送サーバ(FTPサーバ)」のうちパスワードを入力せずに外部からアクセスできる「匿名FTPサーバ(anonymous FTPサーバ)」が運用されていることを確認した。
これらのサーバに保存された大部分の情報は公開しても差し支えないとみられるものだったが、中には営業秘密に該当し得る請求書や見積書のほか、年賀状送り先一覧、従業員名簿、メールのバックアップといった個人情報も含まれていたという。
内部情報を公開している匿名FTPサーバのイメージ(ラック提供)
管理が不十分なまま匿名FTPサーバを使っているのは、個人以外では中小企業がほとんどで、大企業や政府系機関の使用では目的があって情報を公開しているもの以外には確認されていない。しかし、意図せず公開されている情報の中には、請求書や見積書の宛名などに大企業やよく知られた組織の名前が確認できるケースも多く、取引の内容や金額が第三者から容易に閲覧できる状況となっている。
意図せず内部情報が公開される直接的な原因はアクセス権限の設定不備で、その背景としては考えられるのは以下のようなケース。
- 不特定多数に対して公開しているサーバであるとの認識がない
- 過去に使ったFTPサーバが利用者のいなくなった今も停止されずに放置されている
- 社員が自宅などで作業するため個人でFTPサーバを設置しており、組織としてサーバの存在を認識していない
今や、インターネットに接続した機器には世界のどこからでもアクセスされる可能性がある。1月には、ネットワークカメラの映像が意図しないまま公開されていることが報じられ、話題となった。
同様に、FTPで公開されている情報を探し出す検索サービスも存在している。利用者、特に経営トップは、インターネットで公開状態にしている情報は容易に発見され得ることをいま一度認識し、適切なアクセス管理がなされているかを確認することを推奨する。
内部情報が外部に公開されていると、以下のような問題が生じるおそれがある。
- 取引先から情報管理の責任を問われる
- 取引先とのやり取りが標的型攻撃に悪用される
- 取引先名が漏れることにより、取引先自身の情報管理が不十分だという風評被害を生じさせる
- 匿名FTPサーバでファイルの書き込みも自由にできる状態になっている場合には、コンピュータウイルスや違法コピーした映画やアニメなどの「ファイル置き場」に使われる