パスワードを忘れた? アカウント作成
15271223 story
情報漏洩

内閣府のファイル共有ストレージFileZenに不正アクセス、231人分の個人情報が流出か 51

ストーリー by nagazou
流出 部門より

内閣府は4月22日、内閣府の職員らが使用しているファイル共有サーバー(FileZen)に不正アクセスがあり、231人の個人情報が流出した可能性があると発表した。このFileZenはソリトンシステムズが提供しているもので、内閣府、内閣官房、個人情報保護委員会、復興庁の職員がファイルの送受信を行うために使用していた。内閣府のネットのワークの外に設置されていたものであるという(内閣府piyologITmedia)。

今回の不正アクセスは1月に発生したものであるという。ストレージの脆弱性を突く形で発生しているとしている。内閣府のリリースによると、

開発元において3月までに修正パッチの提供等所要の対応がとられました(同社から公表済み)。

ソリトンシステムズは昨年12月にFileZenの脆弱性が含まれていることを確認しており、至急アップデートするよう求めていた(ソリトンシステムズ)。タレコミによると、セキュリティアナリストのhiro_(@papa_anniekey)氏は、そのリリースの翌日となる12月3日に内閣府のFileZenに数年間パッチが当たっていない可能性を指摘していた模様。この対策をしていなかったことが原因となっている可能性が高そうだ。なおpiyologの記事によれば、FileZenは主に国内で約1100台が稼働、その内6割は地方自治体など公共系組織が利用しているとのこと。

あるAnonymous Coward 曰く、

なお、セキュリティアナリストのhiro_(@papa_anniekey)氏は昨年12月3日に内閣府のFileZenに数年間パッチが当たっていない可能性を指摘していた。

情報元へのリンク

  • by Anonymous Coward on 2021年04月28日 17時19分 (#4022350)

    クラウドサービスを何社か見たけど、そこそこ大手でも家内制手工業やってるところばかりで信用に値しないと思った。
    セキュリティ意識も「教育」はするし、対外向けにそれなりにやるようユーザに求めてはいるんだが。

    ・何年もパッチ当ててない。現状維持至上よろしく「何かやってトラブルが起きる」のが最悪と考える。
    ・ユーザから見えない部分ではサポート切れ製品も平気で使ってる。アップグレードした時のリスクを恐れる。
    ・世間が炎上するレベルのパッチは当てる。3ヶ月後くらいに。ただしサポート切れの場合は正当化する理由を探す。
    ・管理者パスワードは何年も変更していない。退職者も知ってるが「インターネットから入れるわけではないので」で正当化。
    ・その管理者パスワードも結構簡単。英単語+数字4桁がどうも王道。

    業務の大半をシステマティックにして障害が起きた時の影響範囲も大きいけど素直に外資使っとけって思ったよ。
    国産クラウドは大規模なインシデントは比較的少ないものの

    「中の人が頑張ってるだけ」
    「小規模障害は対外アナウンスしないだけ」
    「いざ起きた時には素人レベルの事故をやらかす」

    ここに返信
    • by Anonymous Coward

      これ、クラウドの話じゃないんじゃね?

      • by Anonymous Coward

        あ、これアプライアンス製品か。失礼。

      • by Anonymous Coward

        クラウドでも家内制手工業並ならオンプレ製品の運用になると高床式ってことなんじゃ

    • by Anonymous Coward

      職場でここのブラウザを使わされてますけど、一日使ってると落ちるようなクソブラウザなので他も推して知るべしと思ってます。

      • by Anonymous Coward on 2021年04月29日 7時33分 (#4022610)

        > SecureBrowserは、OS標準ブラウザでWebアプリにアクセスしている感覚で、Webアプリの全機能をご利用いただけます。
        > ブラウザエンジンはOSから提供されているものを利用しているため、様々なWebアプリを閲覧でき、利用システムに左右されない安全なWebアクセスインフラを提供します。

        2021年にもなってIEコンポーネントにGUIを被せたブラウザか…

    • by Anonymous Coward

      > 家内制手工業やってるところばかり

      コードフォーマッターが自動的に弾くべきであるようなパッチをなぜか手動でレビューしてキレてる某カーネルとか?

      • by Anonymous Coward

        そのカーネルの開発体制が若干時代から取り残されてるのは確かだが、
        人間が判断せざるを得ない開発の仕事と、何度も同じことを反復して
        極力人間を介在させるべきではない運用では事情が違うと思う。

  • by Anonymous Coward on 2021年04月28日 17時34分 (#4022357)

    > 内閣府のネットのワークの外

    ここでもう笑いがこみあげてきて耐えられない

    ここに返信
  • by Anonymous Coward on 2021年04月28日 18時13分 (#4022392)

    問題のFileZen、26日に再開して利用できるようになってた。
    https://sharedstorage.cao.go.jp/mb/cgi-bin/index.cgi [cao.go.jp]

    ちなみにこのURLでググると怪しいものが見つかる。

    次期「市町村まち・ひと ・しごと創生総合戦略」の策定等について(通知)
    https://www.city.kazo.lg.jp/material/files/group/4/08_tuikashiryou1.pdf [kazo.lg.jp]

    〇 ファイルのダウンロ ードURL
    https://sharedstorage.cao.go.jp/mb/cgi-bin/index.cgi/download/24ekbMlq... [cao.go.jp]

    〇 ダウンロードパスワード「woh-F4ph」

    日本学術会議の活動と運営に関する記者会見(12月14日)のご報告
    http://www.jbsoc.or.jp/seika/wp-content/uploads/2020/12/b80de800b2c261... [jbsoc.or.jp]
    http://www.aesj.org/nc2/htdocs/index.php?action=pages_view_main&ac... [aesj.org]

    ※資料については、下記URLよりダウンロードをお願いします。
    [ダウンロードURL] ※パスワード「ieNgi]e3」
    https://sharedstorage.cao.go.jp/mb/cgi-bin/index.cgi/download/9H5r79kh... [cao.go.jp]

    今はどちらもファイルの共有期間が終わってるからダウンロードできないけど、掲載当時は意図しない範囲の人間が閲覧できていたんじゃないだろうか。
    政府系の機関から内々の事務連絡として送信された内容を着信先の機関が勝手に公開してよいのか? という疑問あり。
    情報公開請求で出てくる文書と同じものならいいけど、本来は黒塗りされて出てくる部分とかだと問題になりそうだなぁ。

    ここに返信
  • セキュリティアナリストだのセキュリティ研究者だのというとなにかすごそうだが…
    「ものは言いよう」ですね。

    ここに返信
    • by Anonymous Coward

      このhiro_(@papa_anniekey)氏って、昨日のストーリー「最恐のウイルスと呼ばれた「Emotet」終息の日を迎える [security.srad.jp]」で触れられている「ばらまきメール回収の会」の一人で、NHKニュース [nhk.or.jp]で名指して貢献を讃えられた一人なんですよね。

      スラドでくさしてる人とは世間への貢献が段違いの「本物」です。嫉妬するのは分かりますが見苦しいですよ。

      • by Anonymous Coward

        前後関係がいまいち不明ですが、
        『セキュリティアナリスト』っていうぐらいだから、もちろんTwitterにつぶやく前に内閣府に指摘入れてたのですかね?
        指摘せずに面白おかしくつぶやいたのなら、それだと脆弱性情報ばらまく面倒な人でしかないかと。

        # この記事だけだと、著名人のTwitterつぶやき -> 攻撃者が内閣府がカモって認識 って可能性も無きにしも非ず

        • by Anonymous Coward

          前後関係はpiyologにまとめられてます。
          ツイートによる指摘の9か月前、2020年3月から長期にわたって不正アクセスを受けていたそうなので、このツイートが原因でということはないはずです。
          もっとも結果論ではあるので、倫理観の高い人は公開指摘やらないと思いますが。
          まあソリトンシステムズの注意喚起後のことですし、ギリOKとするかは人それぞれって感じですかねー。

        • by Anonymous Coward

          「〜ですかね?」「〜なら」と仮定に仮定を重ねてるけどそれ藁人形ですよね
          この人物に落ち度がある可能性があるというのは嫉妬でなければ妄想でしかないのでは?

          • by Anonymous Coward

            #4022462 の疑問はもっともではあるので、そこまで噛み付かなくても……

            • by Anonymous Coward

              でもリンク先には具体的にどう関係各所に通報したか書かれてるわけでしょ?
              それを読まずに「悪意ある行動を取ったなら悪意がある」と仮定法を使うなら
              攻撃的な意思を汲み取られても仕方がないのでは?

              • by Anonymous Coward

                え、そんなことは書かれてないでしょ?
                ストーリーからリンクされてないnoteの方には色々言い訳が書いてあるみたいだけど

    • by Anonymous Coward

      アナリストだけにガバガバなのがお好きなんですよ。

    • by Anonymous Coward

      「セキュリティアナリスト」を名乗って実際に内閣府のセキュリティ問題を発見しているということは…

      つまり腕の立つプロなのでは?

    • by Anonymous Coward

      ヒロ@パパ兄貴ってインパクトあるなとTwitter見にいきましたが、
      プロフィールに「DJ/Organizer. NOT Security Researcher but Analyst/Hobbiest. 」ってあります。
      セキュリティホビイストってのは言い得て妙。

      • by Anonymous Coward

        まあ一種の謙遜ですよね。この人に「趣味でやってます」なんて言われたら本職の立つ瀬がない。

  • by Anonymous Coward on 2021年04月28日 17時27分 (#4022355)

    ・提供されているセキュリティアップデートを当てなかった(提供開始後、検証中だった場合はリスクと検証期間が合理的な範疇であれば除く)
    ・サポート終了したハードやソフトを使用していた
    これらが引き金になったセキュリティ事故は運用者に重過失責任を問い、クラッキング被害だった場合は運用者もクラッカーの共犯として扱う、ぐらいの法制化が必要じゃね。

    こんなのでも被害者ヅラして逃げるのを許すから、いつまで経っても、サイバーノーガードになるんだよ。

    ここに返信
    • by Anonymous Coward

      そんな風に守る動機が弱い法律を作ったら隠れて破る悪徳業者だけが生き残るじゃん
      根本にあるのは国内のIT産業の未熟さでヘタクソにプロの技なんか求めるだけムダ

      • by Anonymous Coward

        いや、システム運用側に責任とらせりゃ、むしろ対策するだろ
        脆弱性を放置してても「クラッカーが悪いんです」で済む現状のほうがやべーわ

        • by Anonymous Coward on 2021年04月28日 20時39分 (#4022494)

          「俺は事故を起こさないから責任なんか取る事態になるわけがない」と思い込む自信過剰のバカだけが残るよ
          そんなルールだったら撤退して文句の出ない事業に鞍替えする方が賢いから、運用実態は劣化するだけ

        • by Anonymous Coward

          そうなんだけど、パッチあてるだの、version更新するだの連絡すると問題あったら困るからあてるなっていってくる客(顧客企業のIT関連部署の人達ですよ)も結構多いんだよね、未だに。
          それに付き合って何もしないシステム運用側ももちろん問題なんだけどさ。
          でなかやいまだにWindows7やIEが使われてるなんてことはないですよ。
          情報安全確保支援士にもっと権限持たせたらまた違ってくるのかしらね。

          • by Anonymous Coward on 2021年04月29日 5時36分 (#4022598)

            正しい選択肢は
            ・最初から脆弱性を備えない(無理)
            ・顧客を説得し継続的にパッチを当てる(無理)

            現実に選べるのは
            ・客に黙ってシステムをいじりパッチを当てる(トラブルの元)
            ・脆弱性やパッチ情報に対して組織的に耳を塞ぐ(倫理的には真っ黒)
            ・脆弱性を隠し「悪用されなければセーフ」と分の悪い賭けに出る(法的にも黒?)

            どうあがいても最初の2つに誘導しない限り隠蔽体質が育つな

            • by northern (38088) on 2021年04月30日 21時28分 (#4023544)

              脆弱性を見つけたらシャットダウンする巫女を導入

            • by Anonymous Coward

              隠蔽をなくすには「隠蔽するメリットを潰す」しかないからなぁ
              隠蔽にデメリットを付加しても、そのデメリットから逃げるために隠蔽が行われるから

              「セキュリティパッチの適用を怠りし会社は、経営者は獄門晒し首、社員は死罪、株主全員に遠島申し付け。但し内情を知りて通報せしめた者はこれを免ずる」ぐらいにすれば改善するんじゃね、知らんけど

              • by Anonymous Coward

                隠蔽するメリットと言うかだけど、構成に常にアップデートを掛ける運用を安全に継続するためには相応のコストが掛かるのよね。
                アップデート検証のためのステージング環境を用意して、検証プロセスを通して、アップデートで問題が検出されたら
                対策の作業が発生するし、アップデートする事で古いソフトウェアがサポート外になる事もある。
                問題を放置すれば、これらの作業の(そこそこ重い)コストを浮かせる事ができる。
                結果的に脆弱性を突かれなかった未来ではこのコストは儲けになる。隠蔽が悪である根拠は利用者に損害を与える原因となる為だから、
                一切の損害が発生しない結果においては隠蔽&ノーガード戦法はビジネスとして正しかったことになる。

                なーんかそう考えると、適正なアタックは世界の健全性に寄与するんだなという結論が出てきてしまうな。
                現状の攻撃の手が手ぬるいから損害期待値が安くなり、自衛に支払うコストが渋られるっていう。

              • by Anonymous Coward

                攻撃が激しくなって大量の被害者の泣き寝入りの後に管理者に責任を負わせる(≒サイバーノーガードを許さない)になるよりは、最初からそうしたほうが、社会的にはプラスなんだろうけどね。

            • by Anonymous Coward

              少しでもましな状態を目指したらこうなった。

              • Windows ServerなのでWindows Updateがデフォルトオンのままでした、てへ。
              • 時代はサーバーレスですっ。パブリッククラウドのいい感じのサービス使いましょう。

              これだと、OSまわりのパッチあてまでは対処できるが、アプリやそこに組み込まれるライブラリまでは手当てできていない。

      • by Anonymous Coward

        や、守る動機が弱い法律はすでにあるんですよ。

        不正アクセス行為の禁止等に関する法律 | e-Gov法令検索 [e-gov.go.jp]

        (アクセス管理者による防御措置)
        第八条 アクセス制御機能を特定電子計算機に付加したアクセス管理者は、当該アクセス制御機能に係る識別符号又はこれを当該アクセス制御機能により確認するために用いる符号の適正な管理に努めるとともに、常に当該アクセス制御機能の有効性を検証し、必要があると認めるときは速やかにその機能の高度化その他当該特定電子計算機を不正アクセス行為から防御するため必要な措置を講ずるよう努めるものとする。

        いわゆる努力義務ってやつなんで、破っても罰則なし。
        親コメがこの法律知ってて言ったのかは分かりませんけど、これを罰則付きにしろっていう話と同義かと。

    • by Anonymous Coward

      運用者向けのビジュアル化が足りないんだと思う
      鍵のかかってない南京錠とか、ベロンチョ引き抜かれたシリンダー錠とか、植木鉢の下の合鍵とか
      わかりやすいスプラッシュ状態表示をしようよ

  • by Anonymous Coward on 2021年04月28日 19時19分 (#4022444)

    パブリックネットワークとは完全に(物理的にも論理的にも)分離された官営プライベートクラウド基盤を作って、
    そこでやり取りしろよ

    ここに返信
    • by Anonymous Coward

      君は脊髄反射でコメントする前に他人のコメントを読むことをした方がいいんじゃないかな。

      (#4022356) [srad.jp]からのツリーを読めばクラウドの話じゃないことは分かるはずだし、(#4022392) [srad.jp]を読めばプライベートクラウドだと外部組織とのやり取りという目的を達せないことは分かるはず。

      • by Anonymous Coward

        外部とのやりとりが無い場合は完全プライベートクラウド、外部とのやり取りがある場合も、
        最小限の人にアクセス権を渡した半プライベートクラウドみたいなのにしないと

        • by Anonymous Coward

          だからどうした
          内閣府のFileZenはパブリッククラウドだったわけじゃないぞ

        • by Anonymous Coward

          そういうものをお寒い国産の技術力で作ると戦後の焼け野原よろしく
          トタンの掘立て小屋が出来上がって風が吹くと脆弱性で飛ぶという寸法

    • by Anonymous Coward

      政府共通プラットフォームってのがありましてね。
      第二期はAWSになっちゃいましたけど。

  • by Anonymous Coward on 2021年04月28日 20時28分 (#4022489)

    OSだろうがDBだろうが何を使っていても全自動更新でもなけりゃ管理者次第よね。

    ここに返信
  • by Anonymous Coward on 2021年04月29日 1時36分 (#4022579)

    https://twitter.com/papa_anniekey/status/1386312449180135429 [twitter.com]
    https://twitter.com/papa_anniekey/status/1386332077247787010 [twitter.com]

    ただ、今のところ「最後にあてたパッチが2018年版だったのが情報流出の原因」と断定できないのがもどかしいところ。
    表向きは今年3月に修正されたゼロデイ脆弱性(CVE-2021-20655)を突かれたということになってるけど、この脆弱性の悪用には別の手段で管理者アカウントを入手している必要があるので、2019年1年に修正された脆弱性(CVE-2020-5639)が管理者アカウントの入手に利用されたと考えるのが自然。
    内閣府は詳しい原因や再発防止策は公表する気がなさそうだし、このまま有耶無耶にする気なんだろうか。

    ここに返信
typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...