ランサム被害、原因はファイアウオール設定変更
2023.02.23ニュース
東海国立大学機構は、学生や職員のアカウント情報を管理するサーバーがランサムウェア攻撃を受け、個人情報が流出した可能性があることを明らかにしました。
原因はファイアウォールの設定ミスであり、サーバーの再構築作業と全アカウントのパスワード変更が行われました。被害の発覚は問い合わせを受けたことから始まり、インシデント対応チームが結成されました。
東海国立大学機構は情報連携統括本部がシステム開発を主導しており、外部ベンダーの担当者はチームに含まれていませんでした。調査の結果、ファイアウォールの設定ミスが攻撃の原因であったことが判明したとのことです。
以下、日経クロステック からの引用です。
東海国立大学機構は2022年10月、ランサムウエア被害に見舞われた。攻撃を受けたのは、学生や職員のアカウント情報を管理するサーバーだった。氏名や生年月日など計4万815件の個人情報が流出した可能性がある。原因は2022年8月に実施したファイアウオールの設定変更時のミスだった。全アカウントのパスワード変更を含め、サーバーの再構築作業に追われた。
「パスワードが変更できない」―─。東海国立大学機構でランサムウエア(身代金要求型ウイルス)攻撃の被害が発覚したきっかけは、2022年10月17日の午後に職員から寄せられた1件の問い合わせだった。情報システムの運用などを手掛ける情報環境部の担当者が調査したところ、学生や職員のアカウントを管理する「機構統合認証システム」の一部に対する不正アクセスが判明した。
東海国立大学機構は、名古屋大学と岐阜大学が統合して2020年4月に発足した国立大学法人である。機構統合認証システムでは2022年5月以降に岐阜大学に所属していた、または所属中の教職員、並びに2021年7月以降に名古屋大学に所属していた、または所属中の学生と教職員のアカウントとひも付いた個人情報を管理していた。これら学生や教職員の氏名や性別、生年月日、学生番号・職員番号、メールアドレス、アカウントの認証パスワード(暗号化された状態)など、計4万815件の個人情報が流出した可能性がある。
外部からランサムウエアの侵入を許した原因は2カ月前に実施した作業におけるファイアウオールの設定ミスだった。業務の継続に影響はなかったとするが、全アカウントのパスワード変更を含め、サーバーの再構築が完了したのは2022年12月1日だった。
不正アクセスを受けたのは機構統合認証システムのうち、アカウント情報を一元管理するためにパッケージソフトウエアで構築したLDAP管理サーバーだった。冒頭の問い合わせを受けて調べてみると、同サーバーのプログラムの一部や作業ファイルが暗号化されていることが10月18日に分かった。攻撃者のものと思われる連絡先へすぐさま連絡するよう要求する脅迫文も残っていた。LDAP管理サーバーはシステム認証基盤と連携した属性情報の閲覧や編集、パスワード変更といった役割を担っているが、これらの機能は頻繁に利用するものではない。同サーバーが停止していても日常的なシステム利用に及ぼす影響は少なく、被害の発覚も遅れることとなった。
事の重大性に気付いた情報環境部の担当者は、上長を通じてCISO(最高情報セキュリティー責任者)の武田一哉機構長補佐名古屋大学副総長に報告。武田機構長補佐の指揮の下、サイバー攻撃のインシデント対応などを務める情報連携統括本部や情報環境部の職員など約20人で構成するインシデント対応チームを同日中に結成した。同チームにはシステム開発に携わった外部ベンダーの担当者を入れなかった。東海国立大学機構ではシステム開発を情報連携統括本部中心で進め、機能ごとに複数の外部ベンダーに作業を委託する形態を取っている。「システムの中身は職員が理解しており、構築責任は機構側にある」(武田機構長補佐)と判断したためだという。
同チームが調査した結果、攻撃者の侵入を許した原因はファイアウオールの設定ミスだった。2022年8月に実施した設定変更作業の際に生じたものだ。ファイアウオールは通常、明示的に許可しなければ外部からのアクセスを拒否する仕様になっているが、東海国立大学機構が利用していた機器は「デフォルト設定がアクセス拒否ではなく、アクセス許可となっている機器だった。作業者がデフォルト設定をアクセス拒否と誤認してしまったため、設定ミスが生じた」(武田機構長補佐)と主張している。
引用元:東海国立大学機構がランサム被害、原因は2カ月前のファイアウオール設定変更
今回の感染原因はファイアウォールの設定ミスとのことですが、人為的ミスはどこの組織であってもあり得ることなので、私たちも注意しないとと思わせる内容でした。
ただ、ファイアウオールに穴が空いていたから、侵入を許したわけですが、その先のシステムの脆弱性をつかれてランサムウエアに感染させられたと考えられます。
また、恐ろしいのは感染に気が付かないということですね。頻繁にアクセスしないデータだと発見が遅くなるのは仕方ないですが、改めて世代バックアップの重要性を確認させられるニュースでありました。