【転載】BYOD端末と撤去控えたサーバーが狙われたNTTコミュニケーションズへの2つの不正アクセスをまとめてみた

BYOD端末と撤去控えたサーバーが狙われたNTTコミュニケーションズへの2つの不正アクセスをまとめてみた:

2020年5月28日、NTTコミュニケーションズは社内ネットワークや一部サービスが不正アクセスを受け情報流出の可能性があると発表しました。また、同年7月2日には発表済み事案の影響顧客に追加があったこと、そしてBYOD端末を経由した別事案を把握し、これも情報流出の可能性があると発表しました。ここでは関連する情報をまとめます。

NTTコミュニケーションズで起きた2つの事案

2つの事案概要を図に整理すると次の通り。両事案とも情報流出が発生した可能性がある。f:id:piyokango:20200703155334p:plain2つの事案の概要図

事案① 複数の海外拠点を経由しNTTコミュニケーションズの一部サービスに侵入した事案。さらにそのサービスで運用されるサーバーを踏み台に、社内ネットワークへ侵入し、ADサーバーやファイルサーバーの操作を行った。サービス上で保管された工事情報等やファイルサーバー上の情報が流出した可能性がある。
事案② BYODとして使用していた社員の私用端末から正規のアカウントを盗用され社内ネットワークに侵入された事案。社内のファイルサーバーを閲覧された可能性がある。
  • 同一の不正アクセス元によるものだったのか等、両事案の関連は公式発表では言及されていない。NTTコミュニケーションズは事案①の調査過程で事案②を把握している。
  • 事案①で被害を受けた法人向けクラウドサービスはBiz ホスティング エンタープライズ、Enterprise Cloudオプションサービス。Biz ホスティングエンタープライズは一部オプションサービスを除いて2018年3月にサービス提供を終了している。被害を受けたサーバー群は新サービスへの移行に伴い撤去を控えていた。
  • 事案②のBYOD端末がどのように侵害されたのかは公表されていないが、社員が利用する正規アカウント悪用のため、パスワードも盗まれていた。
  • 正規アカウントを利用されていたため、攻撃者による影響範囲の特定に時間を要した。VDIサーバーは社内ファイルサーバーへのアクセスのため運用されており、社員の約1割が利用している。*1

800社以上の情報流出の可能性

  • 事案①、②の被害状況をまとめると次の通り。
情報流の可能性があるサーバー 影響顧客数 関連事案
工事情報管理サーバー 704社(契約終了の83社含む*2 ) 事案①で影響
社内ファイルサーバー 188社 事案②で影響、事案①も含まれている可能性あり
  • 影響を受けた顧客数は延べ892社になるが、両サーバーに保管されていた顧客に重複はあると報じられている。
  • 社内ファイルサーバーにはサービス情報や、提案資料、工事関係資料、連絡先情報、営業関連資料が含まれる。
  • 影響を受けたのはいずれも法人向けであり、個人向けサービスの顧客の情報は含まれていない。また海外含むクラウドサービス、およびその品質への影響もない。
自衛隊情報も流出か
今回の事案を受け、自衛隊等に関連する情報が流出した可能性があると報じられている。

防衛省・自衛隊 海上作戦センターの通信設備や配置図、自衛隊約10拠点の回線情報等、少なくとも100以上のファイルが流出した可能性。防衛省指定の秘密該当の情報には当たらないとみられている。また防衛省報告の際、対象情報は外部隔離下で管理のため流出の恐れはないと説明。*3
海上保安庁 通信回線機器の工事情報が流出した可能性*4

発覚まで数か月

被害時系列を整理すると次の通り。両事案とも事態把握の9か月前から不正アクセスが始まっていたとみられる。

日時 出来事
2019年9月頃 シンガポール拠点のサーバーを踏み台にタイ拠点のサーバーに不正アクセス。(事案①発生)
2019年9月以降 社員のアカウントを盗用し社内ネットワークに侵入。*5 (事案②発生)
2019年12月 タイ拠点のサーバーを踏み台に米国拠点のサーバーに不正アクセス。
2019年12月中旬 米国拠点のサーバーを踏み台に法人向けクラウドサービスの運用サーバーに不正アクセス。
2020年5月4日~5日 防衛省関連情報へ複数回アクセスが発生。
2020年5月7日 ADサーバーに対する不正な遠隔操作のログをシステム主管部門が検知。
同日 ADサーバーへの遠隔操作の踏み台となったAD運用サーバーを緊急停止。
その調査を受け、クラウドサービスの運用サーバーを緊急停止。
2020年5月11日 社内ファイルサーバーのアクセスログ解析により一部情報流出の可能性を把握。
2020年5月13日 事案の影響を受けたとして防衛省へ報告。
2020年5月26日 事案①の調査過程でVDIサーバー経由で一部の社内ファイルサーバーへの不正アクセスを把握。
同日 BYOD端末、シンクラ専用端末のリモートアクセス環境を停止。
2020年5月28日 事案①による情報流出の可能性を発表。
2020年5月29日 自衛隊関連情報流出の可能性に対する見解として詳細調査中と発表。
2020年6月2日 一部の社内ファイル流出の可能性を把握。
2020年6月26日 事案の影響を受けたとして海上保安庁へ報告。*6
2020年7月2日 事案①の続報、事案②による情報流出の可能性を発表。
  • シンガポールの拠点が被害を受けた時期は公開情報から確認できていない。

NTTコミュニケーションズの対策

影響を受けた顧客への連絡を進める他、事案発生後の対策として以下がとられている。

事案①の対応 ①以下のサーバーの運用を緊急停止。

・海外拠点の運用サーバー

・クラウドサービスの運用サーバー

・社内のAD運用サーバー

・クラウドサービスからマルウエアの通信先を遮断。

ADサーバーから外部通信を全て遮断
事案②の対応 ①把握直後にBYOD端末、シンクラ専用端末のリモートアクセス環境停止。

②全社員のパスワード変更

③リモートアクセス時の認証、監視を強化。
第二報では「今後の対応」として次の対策が挙げている。括弧は同社の注釈より引用。

  • UEBA(ユーザーの行動分析を行い、リスクを早期に検知する手法)の導入
  • EDR(ユーザーが利用するPCやサーバー(エンドポイント)における不審な挙動を検知し、迅速な対応)の導入
  • ゼロトラスト(社内は安全であるという前提の下に境界だけを守るのではなく、社内外すべてが信頼できないことを前提)を基本方針とするセキュリティ対策の強化
  • 社内ファイルサーバーの情報管理の徹底
  • RedTeam(企業や組織へセキュリティ攻撃を実行し、企業や組織が攻撃に適切に対応できるかの評価や改善提案を行う社内の独立したチーム)の強化
  • 社内IT、OT(電力などのライフラインに関わる社会インフラを提供するシステムを最適に動かすための「制御・運用技術・設備」)に対するTLPT(攻撃シナリオにもとづいて疑似的な攻撃を行うことで、セキュリティ対策状況を評価する手法)の継続的な実施

更新履歴

  • 2020年7月3日 PM 新規作成