内閣府のファイル共有ストレージFileZenに不正アクセス、231人分の個人情報が流出か 51
ストーリー by nagazou
流出 部門より
流出 部門より
内閣府は4月22日、内閣府の職員らが使用しているファイル共有サーバー(FileZen)に不正アクセスがあり、231人の個人情報が流出した可能性があると発表した。このFileZenはソリトンシステムズが提供しているもので、内閣府、内閣官房、個人情報保護委員会、復興庁の職員がファイルの送受信を行うために使用していた。内閣府のネットのワークの外に設置されていたものであるという(内閣府、piyolog、ITmedia)。
今回の不正アクセスは1月に発生したものであるという。ストレージの脆弱性を突く形で発生しているとしている。内閣府のリリースによると、
開発元において3月までに修正パッチの提供等所要の対応がとられました(同社から公表済み)。
ソリトンシステムズは昨年12月にFileZenの脆弱性が含まれていることを確認しており、至急アップデートするよう求めていた(ソリトンシステムズ)。タレコミによると、セキュリティアナリストのhiro_(@papa_anniekey)氏は、そのリリースの翌日となる12月3日に内閣府のFileZenに数年間パッチが当たっていない可能性を指摘していた模様。この対策をしていなかったことが原因となっている可能性が高そうだ。なおpiyologの記事によれば、FileZenは主に国内で約1100台が稼働、その内6割は地方自治体など公共系組織が利用しているとのこと。
あるAnonymous Coward 曰く、
なお、セキュリティアナリストのhiro_(@papa_anniekey)氏は昨年12月3日に内閣府のFileZenに数年間パッチが当たっていない可能性を指摘していた。
国産を信用するなと (スコア:1)
クラウドサービスを何社か見たけど、そこそこ大手でも家内制手工業やってるところばかりで信用に値しないと思った。
セキュリティ意識も「教育」はするし、対外向けにそれなりにやるようユーザに求めてはいるんだが。
・何年もパッチ当ててない。現状維持至上よろしく「何かやってトラブルが起きる」のが最悪と考える。
・ユーザから見えない部分ではサポート切れ製品も平気で使ってる。アップグレードした時のリスクを恐れる。
・世間が炎上するレベルのパッチは当てる。3ヶ月後くらいに。ただしサポート切れの場合は正当化する理由を探す。
・管理者パスワードは何年も変更していない。退職者も知ってるが「インターネットから入れるわけではないので」で正当化。
・その管理者パスワードも結構簡単。英単語+数字4桁がどうも王道。
業務の大半をシステマティックにして障害が起きた時の影響範囲も大きいけど素直に外資使っとけって思ったよ。
国産クラウドは大規模なインシデントは比較的少ないものの
「中の人が頑張ってるだけ」
「小規模障害は対外アナウンスしないだけ」
「いざ起きた時には素人レベルの事故をやらかす」
Re: (スコア:0)
これ、クラウドの話じゃないんじゃね?
Re: (スコア:0)
あ、これアプライアンス製品か。失礼。
Re: (スコア:0)
クラウドでも家内制手工業並ならオンプレ製品の運用になると高床式ってことなんじゃ
Re: (スコア:0)
職場でここのブラウザを使わされてますけど、一日使ってると落ちるようなクソブラウザなので他も推して知るべしと思ってます。
Re:国産を信用するなと (スコア:1)
> SecureBrowserは、OS標準ブラウザでWebアプリにアクセスしている感覚で、Webアプリの全機能をご利用いただけます。
> ブラウザエンジンはOSから提供されているものを利用しているため、様々なWebアプリを閲覧でき、利用システムに左右されない安全なWebアクセスインフラを提供します。
2021年にもなってIEコンポーネントにGUIを被せたブラウザか…
Re: (スコア:0)
> 家内制手工業やってるところばかり
コードフォーマッターが自動的に弾くべきであるようなパッチをなぜか手動でレビューしてキレてる某カーネルとか?
Re: (スコア:0)
そのカーネルの開発体制が若干時代から取り残されてるのは確かだが、
人間が判断せざるを得ない開発の仕事と、何度も同じことを反復して
極力人間を介在させるべきではない運用では事情が違うと思う。
ネットのワークの外 (スコア:1)
> 内閣府のネットのワークの外
ここでもう笑いがこみあげてきて耐えられない
Re: (スコア:0)
ゼロトラストかもよ
Re: (スコア:0)
これDMZに置くもんだしDMZは外と言っていいんじゃないの
Re: (スコア:0)
親コメが言ってるのはそこじゃなくて「ネット」の「ワーク」の「外」という誤字についてですね
Re: (スコア:0)
素で気が付かなかった。頭がはいろみんぐされてるわ・・・
Re: (スコア:0)
私も最初3度見したので……脳が勝手に誤字を修正してくれるというアレですね
Typoglycemiaとは (タイポグリセミアとは) [単語記事] - ニコニコ大百科 [nicovideo.jp]
運用もガバガバ (スコア:1)
問題のFileZen、26日に再開して利用できるようになってた。
https://sharedstorage.cao.go.jp/mb/cgi-bin/index.cgi [cao.go.jp]
ちなみにこのURLでググると怪しいものが見つかる。
次期「市町村まち・ひと ・しごと創生総合戦略」の策定等について(通知)
https://www.city.kazo.lg.jp/material/files/group/4/08_tuikashiryou1.pdf [kazo.lg.jp]
日本学術会議の活動と運営に関する記者会見(12月14日)のご報告
http://www.jbsoc.or.jp/seika/wp-content/uploads/2020/12/b80de800b2c261... [jbsoc.or.jp]
http://www.aesj.org/nc2/htdocs/index.php?action=pages_view_main&ac... [aesj.org]
今はどちらもファイルの共有期間が終わってるからダウンロードできないけど、掲載当時は意図しない範囲の人間が閲覧できていたんじゃないだろうか。
政府系の機関から内々の事務連絡として送信された内容を着信先の機関が勝手に公開してよいのか? という疑問あり。
情報公開請求で出てくる文書と同じものならいいけど、本来は黒塗りされて出てくる部分とかだと問題になりそうだなぁ。
Re:運用もガバガバ (スコア:1)
デフォルトで設定されるパスワードは
なのかな。
セキュリティアナリストか〜 (スコア:1)
セキュリティアナリストだのセキュリティ研究者だのというとなにかすごそうだが…
「ものは言いよう」ですね。
Re: (スコア:0)
このhiro_(@papa_anniekey)氏って、昨日のストーリー「最恐のウイルスと呼ばれた「Emotet」終息の日を迎える [security.srad.jp]」で触れられている「ばらまきメール回収の会」の一人で、NHKニュース [nhk.or.jp]で名指して貢献を讃えられた一人なんですよね。
スラドでくさしてる人とは世間への貢献が段違いの「本物」です。嫉妬するのは分かりますが見苦しいですよ。
Re: (スコア:0)
前後関係がいまいち不明ですが、
『セキュリティアナリスト』っていうぐらいだから、もちろんTwitterにつぶやく前に内閣府に指摘入れてたのですかね?
指摘せずに面白おかしくつぶやいたのなら、それだと脆弱性情報ばらまく面倒な人でしかないかと。
# この記事だけだと、著名人のTwitterつぶやき -> 攻撃者が内閣府がカモって認識 って可能性も無きにしも非ず
Re: (スコア:0)
前後関係はpiyologにまとめられてます。
ツイートによる指摘の9か月前、2020年3月から長期にわたって不正アクセスを受けていたそうなので、このツイートが原因でということはないはずです。
もっとも結果論ではあるので、倫理観の高い人は公開指摘やらないと思いますが。
まあソリトンシステムズの注意喚起後のことですし、ギリOKとするかは人それぞれって感じですかねー。
Re: (スコア:0)
https://note.com/hiro_shi_note/n/n616ac34500a8 [note.com]
Re: (スコア:0)
「〜ですかね?」「〜なら」と仮定に仮定を重ねてるけどそれ藁人形ですよね
この人物に落ち度がある可能性があるというのは嫉妬でなければ妄想でしかないのでは?
Re: (スコア:0)
#4022462 の疑問はもっともではあるので、そこまで噛み付かなくても……
Re: (スコア:0)
でもリンク先には具体的にどう関係各所に通報したか書かれてるわけでしょ?
それを読まずに「悪意ある行動を取ったなら悪意がある」と仮定法を使うなら
攻撃的な意思を汲み取られても仕方がないのでは?
Re: (スコア:0)
え、そんなことは書かれてないでしょ?
ストーリーからリンクされてないnoteの方には色々言い訳が書いてあるみたいだけど
Re: (スコア:0)
アナリストだけにガバガバなのがお好きなんですよ。
Re: (スコア:0)
「セキュリティアナリスト」を名乗って実際に内閣府のセキュリティ問題を発見しているということは…
つまり腕の立つプロなのでは?
Re: (スコア:0)
ヒロ@パパ兄貴ってインパクトあるなとTwitter見にいきましたが、
プロフィールに「DJ/Organizer. NOT Security Researcher but Analyst/Hobbiest. 」ってあります。
セキュリティホビイストってのは言い得て妙。
Re: (スコア:0)
まあ一種の謙遜ですよね。この人に「趣味でやってます」なんて言われたら本職の立つ瀬がない。
いい加減 (スコア:0)
・提供されているセキュリティアップデートを当てなかった(提供開始後、検証中だった場合はリスクと検証期間が合理的な範疇であれば除く)
・サポート終了したハードやソフトを使用していた
これらが引き金になったセキュリティ事故は運用者に重過失責任を問い、クラッキング被害だった場合は運用者もクラッカーの共犯として扱う、ぐらいの法制化が必要じゃね。
こんなのでも被害者ヅラして逃げるのを許すから、いつまで経っても、サイバーノーガードになるんだよ。
Re: (スコア:0)
そんな風に守る動機が弱い法律を作ったら隠れて破る悪徳業者だけが生き残るじゃん
根本にあるのは国内のIT産業の未熟さでヘタクソにプロの技なんか求めるだけムダ
Re: (スコア:0)
いや、システム運用側に責任とらせりゃ、むしろ対策するだろ
脆弱性を放置してても「クラッカーが悪いんです」で済む現状のほうがやべーわ
Re:いい加減 (スコア:1)
「俺は事故を起こさないから責任なんか取る事態になるわけがない」と思い込む自信過剰のバカだけが残るよ
そんなルールだったら撤退して文句の出ない事業に鞍替えする方が賢いから、運用実態は劣化するだけ
Re: (スコア:0)
そうなんだけど、パッチあてるだの、version更新するだの連絡すると問題あったら困るからあてるなっていってくる客(顧客企業のIT関連部署の人達ですよ)も結構多いんだよね、未だに。
それに付き合って何もしないシステム運用側ももちろん問題なんだけどさ。
でなかやいまだにWindows7やIEが使われてるなんてことはないですよ。
情報安全確保支援士にもっと権限持たせたらまた違ってくるのかしらね。
Re:いい加減 (スコア:1)
正しい選択肢は
・最初から脆弱性を備えない(無理)
・顧客を説得し継続的にパッチを当てる(無理)
現実に選べるのは
・客に黙ってシステムをいじりパッチを当てる(トラブルの元)
・脆弱性やパッチ情報に対して組織的に耳を塞ぐ(倫理的には真っ黒)
・脆弱性を隠し「悪用されなければセーフ」と分の悪い賭けに出る(法的にも黒?)
どうあがいても最初の2つに誘導しない限り隠蔽体質が育つな
Re:いい加減 (スコア:1)
脆弱性を見つけたらシャットダウンする巫女を導入
Re: (スコア:0)
隠蔽をなくすには「隠蔽するメリットを潰す」しかないからなぁ
隠蔽にデメリットを付加しても、そのデメリットから逃げるために隠蔽が行われるから
「セキュリティパッチの適用を怠りし会社は、経営者は獄門晒し首、社員は死罪、株主全員に遠島申し付け。但し内情を知りて通報せしめた者はこれを免ずる」ぐらいにすれば改善するんじゃね、知らんけど
Re: (スコア:0)
隠蔽するメリットと言うかだけど、構成に常にアップデートを掛ける運用を安全に継続するためには相応のコストが掛かるのよね。
アップデート検証のためのステージング環境を用意して、検証プロセスを通して、アップデートで問題が検出されたら
対策の作業が発生するし、アップデートする事で古いソフトウェアがサポート外になる事もある。
問題を放置すれば、これらの作業の(そこそこ重い)コストを浮かせる事ができる。
結果的に脆弱性を突かれなかった未来ではこのコストは儲けになる。隠蔽が悪である根拠は利用者に損害を与える原因となる為だから、
一切の損害が発生しない結果においては隠蔽&ノーガード戦法はビジネスとして正しかったことになる。
なーんかそう考えると、適正なアタックは世界の健全性に寄与するんだなという結論が出てきてしまうな。
現状の攻撃の手が手ぬるいから損害期待値が安くなり、自衛に支払うコストが渋られるっていう。
Re: (スコア:0)
攻撃が激しくなって大量の被害者の泣き寝入りの後に管理者に責任を負わせる(≒サイバーノーガードを許さない)になるよりは、最初からそうしたほうが、社会的にはプラスなんだろうけどね。
Re: (スコア:0)
少しでもましな状態を目指したらこうなった。
これだと、OSまわりのパッチあてまでは対処できるが、アプリやそこに組み込まれるライブラリまでは手当てできていない。
Re: (スコア:0)
や、守る動機が弱い法律はすでにあるんですよ。
不正アクセス行為の禁止等に関する法律 | e-Gov法令検索 [e-gov.go.jp]
いわゆる努力義務ってやつなんで、破っても罰則なし。
親コメがこの法律知ってて言ったのかは分かりませんけど、これを罰則付きにしろっていう話と同義かと。
Re: (スコア:0)
運用者向けのビジュアル化が足りないんだと思う
鍵のかかってない南京錠とか、ベロンチョ引き抜かれたシリンダー錠とか、植木鉢の下の合鍵とか
わかりやすいスプラッシュ状態表示をしようよ
官営プライベートクラウド作れよ (スコア:0)
パブリックネットワークとは完全に(物理的にも論理的にも)分離された官営プライベートクラウド基盤を作って、
そこでやり取りしろよ
Re: (スコア:0)
君は脊髄反射でコメントする前に他人のコメントを読むことをした方がいいんじゃないかな。
(#4022356) [srad.jp]からのツリーを読めばクラウドの話じゃないことは分かるはずだし、(#4022392) [srad.jp]を読めばプライベートクラウドだと外部組織とのやり取りという目的を達せないことは分かるはず。
Re: (スコア:0)
外部とのやりとりが無い場合は完全プライベートクラウド、外部とのやり取りがある場合も、
最小限の人にアクセス権を渡した半プライベートクラウドみたいなのにしないと
Re: (スコア:0)
だからどうした
内閣府のFileZenはパブリッククラウドだったわけじゃないぞ
Re: (スコア:0)
そういうものをお寒い国産の技術力で作ると戦後の焼け野原よろしく
トタンの掘立て小屋が出来上がって風が吹くと脆弱性で飛ぶという寸法
Re: (スコア:0)
政府共通プラットフォームってのがありましてね。
第二期はAWSになっちゃいましたけど。
何を使っても最後は人 (スコア:0)
OSだろうがDBだろうが何を使っていても全自動更新でもなけりゃ管理者次第よね。
タレコミ段階で本人に通知が飛んで見つかった模様 (スコア:0)
https://twitter.com/papa_anniekey/status/1386312449180135429 [twitter.com]
https://twitter.com/papa_anniekey/status/1386332077247787010 [twitter.com]
ただ、今のところ「最後にあてたパッチが2018年版だったのが情報流出の原因」と断定できないのがもどかしいところ。
表向きは今年3月に修正されたゼロデイ脆弱性(CVE-2021-20655)を突かれたということになってるけど、この脆弱性の悪用には別の手段で管理者アカウントを入手している必要があるので、2019年1年に修正された脆弱性(CVE-2020-5639)が管理者アカウントの入手に利用されたと考えるのが自然。
内閣府は詳しい原因や再発防止策は公表する気がなさそうだし、このまま有耶無耶にする気なんだろうか。