編集部からのお知らせ
動画セミナー「Security Trend Winter」公開中!
最新記事まとめ「医療IT」

不正アクセス被害の九州商船、詳細結果も公表する意義 - (page 2)

國谷武史 (編集部)

2018-04-02 19:13

顧客被害がない可能性を示す

 これまでセキュリティインシデントの詳しい対応結果などを公開したケースは、2015年に日本年金機構で発生した個人情報流出事件に伴う内閣サイバーセキュリティセンター(NISC)の報告書や、2017年に不正アクセス被害を受けたソフトバンク・テクノロジーなどを除けば、あまり例がない。

 一般的に企業や組織がセキュリティインシデントの事実を公表しても、詳細まで明らかにしないのは、公表に伴う信用やブランドへの影響を懸念するためだとされる。実際、セキュリティ企業のジェムアルトが実施した調査によれば、消費者の7割が情報漏えいを起こした企業とは取引しないと回答した。

 この点について九州商船は、「当社も今回の事態を経験するまでは、詳しい結果を公表したケースを聞いたことがありませんでした。関係者から公表した方が良いとの提案をいただき公表を決めました。お客さまの情報が外部に流出した可能性が極めて低いことをきちんと伝えたいとの思いもあります」と話す。

 解析編の調査報告書では、時系列によるインシデント対応の状況や不正プログラムの解析、不正アクセスの原因究明、情報漏えいの可能性に伴うデータベースの解析、システムの脆弱性、再発防止策に関する広範な取り組みを説明している。

 調査の結果、今回の不正アクセスの直接的な原因はメンテナンスに使用するFTPアカウントの不備であることが判明し、何者かがFTPサーバへのアクセスを試みるPerlスクリプトを使って機械的にブルートフォース(総当たり)攻撃を仕掛けたことが分かった。攻撃者は、仮想通貨の発掘を目的にサーバへ不正なプログラムを設置したと見られている。

 一方で情報漏えいの可能性については、ウェブ予約サービスのシステム構成から攻撃者がデータベースへ直接侵入することは難しいものの、少なくとも2017年7月15日以降に、任意のコマンドを実行してデータベース設定情報を使い、侵入できてしまう可能性が判明したという。しかし、調査で収集・復元できたログの分析からは、攻撃者が脆弱性などを悪用してデータを持ち出した痕跡は発見されなかった。こうした結果から同社は、不正アクセスによって「顧客情報が外部に流出した可能性は極めて低い」と判断した。


解析調査から判明した結果を時系列で示したもの(九州商船の報告書より)

 ただ、報告書では今回のインシデントによる結果が「幾つかの幸運によるもの」とも指摘する。攻撃者がデータベースの情報に関心を持たなかった可能性や、脆弱性が存在していても設定などから実質的に無効であったこと、過大なCPUの負荷で管理者がインシデントに気が付けたこと、データベースのログの大部分を収集できたことなどが幸いにして、顧客情報の流出という甚大な被害の回避につながった。

 さらに、「これらが1つでも欠けていたら、『顧客情報が外部に流出した可能性は極めて低い』と結論付けることが不可能だったと思われる」と忠告。攻撃者の狙いが情報ではなく仮想通貨にあったことや、多数のサーバを標的にする機械的な攻撃だったことは幸運に過ぎず、「攻撃者がデータベースの情報に興味を持ち、仮想通貨の発掘によるCPUの負荷上昇による障害がなければ発見が遅れ、情報流出の被害が発生した可能性がある」と警鐘を鳴らす。

 九州商船では、「当社が経験したインシデントへの対応や解析結果などの情報が、情報セキュリティの一助になれば幸いです」とコメントしている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]