情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2021年3月19日号
***************************************************************
狙われるクラウドサービス、止まらない情報流出をどう考えるか?
***************************************************************
昨年12月PayPayと楽天が不正アクセスを受けPayPayが200万件、楽天が148万件の情報
流出事故を起こした。両社はセールスフォース・ドットコム(Salesforce)のクラウドベースのCRM/
顧客管理システムを利用し、設定上の問題で外部からアクセス可能な状態にあったとしている。
Salesforceの問題は、この2社だけに留まらないとしてNISCからも注意喚起が行われている。
今年に入り同様にSalesforceを利用している企業・団体が不正アクセスで情報流出したという
事故は20件を超え、Salesforceから流出した日本の情報数は2170万件にも及ぶ。
イオンやfreee、SMBC日興証券、SMBC信託銀行などの企業だけでなく多数の自治体からも
情報流出が確認されている。
但し、Salesforceからの情報流出に関して詳細の公表をしていない企業・団体も多くあり、実際
の流出数は更に多い数となる。
これに対しSalesforceは、「この問題は、サイト上に構築する『公開サイト機能』をご利用のお客
様にのみ発生する事象」で「Salesforceプラットフォーム固有の脆弱性に起因するものではない」
と釈明している。
確かに設定上の問題で情報が流出しているのであれば、利用者の問題なのかもしれないが、本当
にそれだけであろうか?
外部の第三者が簡単にアクセスできてしまうようなシステムの構成や設定、そのことに対する注意の
徹底などサービス提供側にも問題があるのではないかと考えてしまう。
一般的にクラウドサービス利用者は、委託先クラウドシステムのセキュリティに対しての詳細を確認
することはなく、一方的に信用して利用するというケースがほとんどだと思われる。
日本では特に顕著で、設定の問題と言われてもその設定の詳細すら理解せずに利用していると
言うケースがほとんどだったのではないだろうか。
今まで「この会社のシステムだから大丈夫」「有名なサービスだから安心」などという声を多く聞いた。
実際にクラウドサービスをインターネットで検索するとお奨めサービスとして有名な会社がヒットする。
確かに会社としてセキュリティ基準を満たす資格等を保有しているかもしれないが、個別サービスの
詳細セキュリティ内容がそれに該当するかどうかは別の話である。
SIPSで確認されている「ハッキングされたサーバ」つまり悪意のハッカーによりサーバの権限情報を
奪われているサーバの数は前述の検索で出てくる有名企業がその上位を占めている。
誰もが安心と考える有名な会社のサービスは、既にそのサーバの権限情報はサイバー攻撃者に
奪われている可能性が高く情報流出のリスクは極めて高いということである。
そしてその内容を理解せず、セキュリティ上の問題点など十分に確認しないまま利用するサービス
利用者も問題はあるが、自社サーバの被ハッキング状況を把握しないままサービスとして提供して
いる企業にも大きな問題があると考えられる。
一番の被害者は、そのサービスを利用して流出した情報に該当する個人であり、流出した個人
情報を不正利用したサイバー犯罪が発生する可能性が高くなる。しかし情報漏洩してしまった
企業はホームページ等で「謝罪文の掲載」で終わり、その責任が問われることはほとんどない。
さてクラウドサービスのセキュリティ問題に関しては、世界のセキュリティベンダーから2021年の脅威
動向として「クラウドサービス」に関連する注意喚起が行われていて、当レポートでも今年最初の
レポートで紹介している。
またSalesforceだけではなく、他のクラウドサービスでも同様に不正アクセス事故は発生していて、
自治体などが多く利用しているランドブレインのサーバも2月にランサムウェアの被害を受け、多くの
情報を流出している。
クラウドに限らず、今年に入り不正アクセス事故のニュースになった数は1月23件、2月は28件で
3月は半月で27件発生している。合計78件で不正アクセス数は昨年より増加しているが、クラウド
サービスが不正アクセスを受けて情報流出している割合が増加しているのは間違いない。
そして不正アクセスを受けた企業・団体で「外部調査会社により調査した結果流出の痕跡はない」
というようなコメントをよく見かけるが、そんなことはない。
普通に考えて、リスクを侵しハッキングしたサーバに目的の情報があるのに情報を搾取せず帰っていく
サイバー攻撃者などいるわけがない。
このようなサイバー攻撃者は、高度な技術で不正アクセスや情報搾取の痕跡を消しているのである。
安易に「流出の痕跡はない」という結論を出す調査は疑った方が良い。
そして一番大きな問題は、このような不正アクセスにより流出した情報がどうなっているか?である。
中国ブラックマーケットでは、流出情報の売買が過去最多と言われた昨年以上に増加している。
「電子メール」「クレジットカード情報」「銀行口座」「各種アカウント」「運転免許証」など多様に、
頻繁に、流出情報売買の書き込みが確認されているが、最近増えているのは「日本のアマゾンの
フィッシング方法を教えます。」「情報の自動収集方法とアップロードソフトウェアを販売します」など
次のサイバー犯罪に利用するための手法や教育、技術的サポートに関する情報である。
単純に搾取した情報を売買するだけでなく、その情報を使い更なるサイバー犯罪を実現させるため
の技術情報まで売買されている。
これは中国ブラックマーケット内にアクセスしてくるサイバー犯罪者の次なる犯罪を助長することになり
組織化されたハッカー集団ではハッキングスキルのレベルアップの目的もあるという事になる。
最近発生したLINEの個人情報流出事故に関してはサイバー攻撃によるものではないが、実際に
流出した個人情報は当然のように中国ブラックマーケットで売買される。
LINEのアカウント情報の売買情報は2018年後半から特に多く確認されていて30件近く確認され
ている。
中には「直接ログイン可能なLINEのアカウントを販売」などというような書き込みも存在しているが、
これは「直接ログイン可能」という判断が何故されたのかを考えた時に、今回のような流出であれば
実際に稼働しているアカウントである事からこのような表現ができるのではないだろうか?
SISPではこの中の情報提供者の一人に確認したところ、その保有数は10万個あるという事だった。
このような数の情報を使い、サイバー犯罪の手ほどきまでされたら、もうどうすることもできない。
東京オリンピック組織委員会の佐々木宏氏のLINEによる不適切発言の問題が、大騒ぎになって
いるが、このLINEによる発言は昨年3月に投稿したものであり、前述のLINEの情報流出の時期と
一致するのは単なる偶然であろうか。
もしかしたらLINEの情報流出事故の中でこの会話を入手した東京オリンピック開催に反対する人
が、このタイミングでリークした可能性も否定できない。
オリンピックが開催されなければ日本の経済的ダメージが甚大であることから、反日感情のある中国
人に利用された、または中国政府の政治的対日政策と考えるのは考えすぎだろうか・・・
様々な憶測や疑問が飛び交うが、全てはサイバー空間で情報を入手できれば可能となりうる。
とにかく日本の情報は大半が中国に流出していると考えるべきだろう。
国や企業がこの事実を理解せず十分な対策を取らない以上、インターネットを利用している個人は
全ての情報が流出していると考え、サイバー犯罪に巻き込まれないよう備えるしか方策はない。
---------------------------------------------------------------------------------
<参考URL>
ITmedia
NEWS:2021/2/2
「設定を見直して」 NISC、「Salesforce」利用企業に注意喚起 楽天やPayPayの情報流出を受け
https://www.itmedia.co.jp/news/articles/2102/02/news117.html
ITmedia
NEWS:2021/3/17
JICAのWebサイトに不正アクセス、個人情報8418件が流出 Salesforce設定に不備
https://www.itmedia.co.jp/news/articles/2103/17/news107.html
産経新聞:2021/3/17
LINE8600万人利用 社会インフラの情報流出リスクに懸念の声
https://www.sankei.com/life/news/210317/lif2103170039-n1.html
日経クロステック:2021/3/17
LINEで不適切な情報管理、中国の委託先にアクセス権限付与
https://xtech.nikkei.com/atcl/nxt/news/18/09884/
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved