ICHIRO BLOG引っ越しました

引っ越しの理由
無縫地帯

組織内のネット素行を監視しているつもりが機密情報ダダ漏れに貢献してしまったというお粗末

2017.04.14

「SKYSEA Client View」というセキュリティサービスの脆弱性を狙い撃ちする形でサイバー攻撃が繰り返されていたことが分かりました。

山本一郎です。企業向けセキュリティシステムに脆弱性があり、それが原因で機密情報漏洩事件が相次いでいるというニュースがありました。

ビジネス用ソフトの欠陥突くサイバー攻撃相次ぐ(NHKニュース 17/4/11)

国内の1万余りの企業などに採用されているビジネス用ソフトの欠陥を悪用し、特定の企業を狙って機密情報を盗み出すサイバー攻撃が相次いでいることが情報セキュリティー会社の調査でわかりました。
(中略)
ソフトを開発した会社では去年12月に欠陥を公表して修正用のプログラムを配布し、情報セキュリティーの専門機関なども注意を呼びかけましたが、攻撃は今も続いているということです。NHKニュース
当該システムにセキュリティ脆弱性があることは以前から判明しており、開発会社による情報提供のほか、独立行政法人情報処理推進機構(IPA)からの通告なども出ていました。ちなみにIPAによる脆弱性の深刻度評価は最悪の「III(危険)」となっています。ちょっと大変なことなのではないでしょうか。

更新:「SKYSEA Client View」において任意のコードが実行可能な脆弱性について(JVN#84995847)(IPA)

こうした指摘が明らかになっていたにもかかわらず多くの団体や企業で情報漏洩被害が発生してしまったようなのは非常に残念な話です。なぜ、脆弱性に関する情報がセキュリティ対策に活かされなかったのかは謎ですが、朝日新聞の報道によれば起きてしまった事態は想像以上で、かなり深刻と受け取れます。

インフラ、サイバー攻撃か4年前から、検知しにくく(朝日新聞 17/4/11)

電気やガス、鉄道といった重要インフラを担う企業や官公庁を狙ったとみられるサイバー攻撃の存在が明らかになった。攻撃は4年前からあったが、2年半近く感染に気づかなかったケースも。気づかないうちに大量のデータを盗み取られた恐れもある。新たな感染経路が見つかったとして、警視庁が捜査している。
(中略)
昨年末には新たな経路も見つかった。組織内のパソコンを一元管理するソフト「SKYSEA(スカイシー)」の欠陥を悪用して送り込まれる。
(中略)
SKYSEAは国内の官公庁や金融、インフラなど幅広い業種の約1万組織、累計約466万台の導入実績があるという。朝日新聞
官公庁や金融、インフラといったお堅い職種方面で人気のある製品であったことが分かりますが、実際にはどういった機能をもたらすソフトであったかというと、組織内で誰がどのようにPCを使っているかを監視するものなんですね。より具体的にどう使われているかを分かりやすく解説したブログ記事があったので、やや日付は古いのですがご紹介しておきます。

SKYSEAってどう?(弱者のネット活用術 11/3/11)

情報管理で導入したSKYSEAですが、様々な機能が付いております。
すべての操作ログが蓄積されるので、各クライアントPCで何が行われているのか分析可能です。
リモート操作機能も付いているので、リアルにPC捜査状況を観察したり、画面を録画したりできます。
(中略)
導入当初はクライアントのログなんて何の意味があるのかと思っておりましたが、
ある程度の蓄積されたログを見てみたらまぁ~酷いものでした。
アダルトサイト、出会い系サイトのアクセスログが山のように出てきました。弱者のネット活用術
こういう仕事をしてくれるソフトなので、お堅い職場であればあるほど需要が高く導入実績も上がるということは想像しやすいところです。で、社員や職員のネット素行をチマチマと監視していたつもりが、実は大切な機密情報を外部へダダ漏れさせていた可能性があるということでして、これは導入した側も悔やんでも悔やみきれないことになってしまったようです。

で、こうした深刻な問題が起きているので注意しなさいという警察などの指導もあった経緯でNHKや朝日新聞が報道したということなのでしょうが、こうしたメディア報道に対して、当該ソフトの開発会社であるスカイは異議を唱えたようであります。

「機密情報が流出」報道にスカイが反論(ITpro 17/4/12)

同社によると、すでに対策済みの弱点で、ユーザーからは実際に情報が漏洩したという被害報告は受けていないという。
(中略)
対策のためのパッチや、セキュリティホールをふさいだ新バージョンはすでにスカイから提供済み。だが、それらの対策を取っていないユーザーを中心に依然として被害が続いていることをセキュリティ会社「Secure Works Japan」が指摘。ITpro
NHK報道では「攻撃は今も続いている」とあり、セキュリティ会社は「対策を取っていないユーザーを中心に依然として被害が続いている」としていますが、開発会社側では「被害報告は受けていない」ということなんですね。まあ、ソフト提供側からすれば、提供済みの対策を取り入れないユーザーが悪いということなんでしょう。それにしてもなぜ、これほどの深刻なセキュリティ脆弱性があるとされていたのに対策製品を使わずで情報漏洩事故が起きてしまうケースがあったのか、そのあたりについては導入側の事情も知りたいところです。

ただ、聞き及ぶ限りでは本件事案を把握した当局がかなり問題視しているということでもあるので、近日中に何か大きな続報でもあるのかもしれません。正座して待ちたいと思います。