2018/07/20

[インシデント]国立研究開発法人 産業技術総合研究所



■国立研究開発法人 産業技術総合研究所

[組織情報]
組織形態:国立研究開発法人(国立研究開発法人産業技術総合研究所法により「鉱工業の科学技術に関する研究及び開発等の業務を総合的に行うことにより、産業技術の向上及びその成果の普及を図り、もって経済及び産業の発展並びに鉱物資源及びエネルギーの安定的かつ効率的な供給の確保に資すること」を目的とする。)

予算:969億85百万円(2010年度決算)

従業員数:2,949人

URL http://www.aist.go.jp/

[インシデント発生日]
2018年2月6日

[インシデント概要]
産総研の主たる情報システムである
 ・クラウドサービスを利用するメールシステム(⇒Office365)
 ・独自に構築する内部システム

の双方に順次不正なアクセスが行われ、
 ①職員のログイン ID の窃取
 ②パスワード試行攻撃によるパスワード探知
 ③職員のログイン ID・パスワードを用いた、内部システムへの不正侵入
 ④内部システムのサーバの「踏み台」化
 ⑤メールシステム及び内部システムの複数のサーバに保管したファイルの窃取又は閲覧
といった一連の不正行為が行われた。

[規模]
下記が外部へ漏えい又は閲覧された可能性。
 ・未公表の研究情報 120 件
 ・共同研究契約等に関する情報 約 200 件
 ・個人情報を含む文書 約 4700 件
 ・全職員の氏名・所属
 ・143 アカウント分の電子メール及び添付文書

[原因]
メールシステム(Office365)へのブルートフォース攻撃によるアカウント情報搾取?

※個人的な見解は「クラウドメールサービスのセキュリティ設定不備」

[プレスリリース・参考資料]
20180213弊所に対する不正なアクセスに関する事案について
20180720「産総研の情報システムに対する不正なアクセスに関する報告」について
【参考】導入事例:産業技術総合研究所様(Microsoft Office 365)

[コメント]
メールシステム(Office365)への不正なアクセスを皮切りに内部ネットワークに侵入されたという、少し釈然としない原因。


何が釈然としないかって、悪意のある第三者がメールシステムに対して不正ログインの試みが可能な点。

普通メール環境をクラウドに持っていったら、セキュリティ強化の観点でアクセス元IPの制御はするはず。少なくとも自分が過去に関わってきている会社は全てそうしてる。

それをしていなければこのような事態が起きることは想像に難くない。
(各ユーザーの認証に二段階認証とかを用いていれば別だが)

あと、プレスリリースで自組織の環境を明かすのもNG。

悪意のある第三者に不正アクセスをさせるためのヒントを与えているようなもの。

元ソニー社長の中鉢さんが理事長されている組織なのでぜひ頑張ってほしい。