piyolog
piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。
BYOD端末と撤去控えたサーバーが狙われたNTTコミュニケーションズへの2つの不正アクセスをまとめてみた
2020年5月28日、NTTコミュニケーションズは社内ネットワークや一部サービスが不正アクセスを受け情報流出の可能性があると発表しました。また、同年7月2日には発表済み事案の影響顧客に追加があったこと、そしてBYOD端末を経由した別事案を把握し、これも情報流出の可能性があると発表しました。ここでは関連する情報をまとめます。
NTTコミュニケーションズで起きた2つの事案
2つの事案概要を図に整理すると次の通り。両事案とも情報流出が発生した可能性がある。
| 事案① | 複数の海外拠点を経由しNTTコミュニケーションズの一部サービスに侵入した事案。さらにそのサービスで運用されるサーバーを踏み台に、社内ネットワークへ侵入し、ADサーバーやファイルサーバーの操作を行った。サービス上で保管された工事情報等やファイルサーバー上の情報が流出した可能性がある。 |
|---|---|
| 事案② | BYODとして使用していた社員の私用端末から正規のアカウントを盗用され社内ネットワークに侵入された事案。社内のファイルサーバーを閲覧された可能性がある。 |
- 同一の不正アクセス元によるものだったのか等、両事案の関連は公式発表では言及されていない。NTTコミュニケーションズは事案①の調査過程で事案②を把握している。
- 事案①で被害を受けた法人向けクラウドサービスはBiz ホスティング エンタープライズ、Enterprise Cloudオプションサービス。Biz ホスティングエンタープライズは一部オプションサービスを除いて2018年3月にサービス提供を終了している。被害を受けたサーバー群は新サービスへの移行に伴い撤去を控えていた。
- 事案②のBYOD端末がどのように侵害されたのかは公表されていないが、社員が利用する正規アカウント悪用のため、パスワードも盗まれていた。
- 正規アカウントを利用されていたため、攻撃者による影響範囲の特定に時間を要した。VDIサーバーは社内ファイルサーバーへのアクセスのため運用されており、社員の約1割が利用している。*1
800社以上の情報流出の可能性
- 事案①、②の被害状況をまとめると次の通り。
| 情報流の可能性があるサーバー | 影響顧客数 | 関連事案 |
|---|---|---|
| 工事情報管理サーバー | 704社(契約終了の83社含む*2 ) | 事案①で影響 |
| 社内ファイルサーバー | 188社 | 事案②で影響、事案①も含まれている可能性あり |
- 影響を受けた顧客数は延べ892社になるが、両サーバーに保管されていた顧客に重複はあると報じられている。
- 社内ファイルサーバーにはサービス情報や、提案資料、工事関係資料、連絡先情報、営業関連資料が含まれる。
- 影響を受けたのはいずれも法人向けであり、個人向けサービスの顧客の情報は含まれていない。また海外含むクラウドサービス、およびその品質への影響もない。
発覚まで数か月
被害時系列を整理すると次の通り。両事案とも事態把握の9か月前から不正アクセスが始まっていたとみられる。
| 日時 | 出来事 |
|---|---|
| 2019年9月頃 | シンガポール拠点のサーバーを踏み台にタイ拠点のサーバーに不正アクセス。(事案①発生) |
| 2019年9月以降 | 社員のアカウントを盗用し社内ネットワークに侵入。*6 (事案②発生) |
| 2019年12月 | タイ拠点のサーバーを踏み台に米国拠点のサーバーに不正アクセス。 |
| 2019年12月中旬 | 米国拠点のサーバーを踏み台に法人向けクラウドサービスの運用サーバーに不正アクセス。 |
| 2020年5月4日~5日 | 防衛省関連情報へ複数回アクセスが発生。 |
| 2020年5月7日 | ADサーバーに対する不正な遠隔操作のログをシステム主管部門が検知。 |
| 同日 | ADサーバーへの遠隔操作の踏み台となったAD運用サーバーを緊急停止。 |
| : | その調査を受け、クラウドサービスの運用サーバーを緊急停止。 |
| 2020年5月11日 | 社内ファイルサーバーのアクセスログ解析により一部情報流出の可能性を把握。 |
| 2020年5月13日 | 事案の影響を受けたとして防衛省へ報告。 |
| 2020年5月26日 | 事案①の調査過程でVDIサーバー経由で一部の社内ファイルサーバーへの不正アクセスを把握。 |
| 同日 | BYOD端末、シンクラ専用端末のリモートアクセス環境を停止。 |
| 2020年5月28日 | 事案①による情報流出の可能性を発表。 |
| 2020年5月29日 | 自衛隊関連情報流出の可能性に対する見解として詳細調査中と発表。 |
| 2020年6月2日 | 一部の社内ファイル流出の可能性を把握。 |
| 2020年6月26日 | 事案の影響を受けたとして海上保安庁へ報告。*7 |
| 2020年7月2日 | 事案①の続報、事案②による情報流出の可能性を発表。 |
- シンガポールの拠点が被害を受けた時期は公開情報から確認できていない。
NTTコミュニケーションズの対策
影響を受けた顧客への連絡を進める他、事案発生後の対策として以下がとられている。
| 事案①の対応 | ①以下のサーバーの運用を緊急停止。 ・海外拠点の運用サーバー ・クラウドサービスの運用サーバー ・社内のAD運用サーバー ・クラウドサービスからマルウエアの通信先を遮断。 ADサーバーから外部通信を全て遮断 |
|---|---|
| 事案②の対応 | ①把握直後にBYOD端末、シンクラ専用端末のリモートアクセス環境停止。 ②全社員のパスワード変更 ③リモートアクセス時の認証、監視を強化。 |
第二報では「今後の対応」として次の対策が挙げている。括弧は同社の注釈より引用。
- UEBA(ユーザーの行動分析を行い、リスクを早期に検知する手法)の導入
- EDR(ユーザーが利用するPCやサーバー(エンドポイント)における不審な挙動を検知し、迅速な対応)の導入
- ゼロトラスト(社内は安全であるという前提の下に境界だけを守るのではなく、社内外すべてが信頼できないことを前提)を基本方針とするセキュリティ対策の強化
- 社内ファイルサーバーの情報管理の徹底
- RedTeam(企業や組織へセキュリティ攻撃を実行し、企業や組織が攻撃に適切に対応できるかの評価や改善提案を行う社内の独立したチーム)の強化
- 社内IT、OT(電力などのライフラインに関わる社会インフラを提供するシステムを最適に動かすための「制御・運用技術・設備」)に対するTLPT(攻撃シナリオにもとづいて疑似的な攻撃を行うことで、セキュリティ対策状況を評価する手法)の継続的な実施
NTTコミュニケーションズの公式発表
- 2020年5月28日当社への不正アクセスによる情報流出の可能性について
- 2020年5月29日当社への不正アクセスに関する一部報道について
- 2020年7月2日当社への不正アクセスによる情報流出の可能性について(第2報)
更新履歴
- 2020年7月3日 PM 新規作成
- 2020年7月8日 AM 続報反映
*1:海保の通信工事情報なども流出か、NTTコムへの不正アクセスで,日経クロステック,2020年7月3日
*2:NTTコム サイバー攻撃で新たに271社情報流出か 社員用パスワードで不正アクセス,毎日新聞,2020年7月2日
*3:NTTコムにサイバー攻撃 自衛隊の通信情報流出か,日本経済新聞,2020年5月29日
*4:NTTコムのサイバー攻撃、海保でも流出,2020年7月2日,共同通信
*5:厚労省の通信情報も流出か NTTコム、サイバー攻撃,東京新聞,2020年7月7日
*6:延べ892社の情報流出か NTTコム、追加調査で,日本経済新聞,2020年7月2日
*7:海保の通信機器でも流出 NTTコム、サイバー攻撃,SankeiBiz,2020年7月2日
