セキュリティの
学び場

今回の解説ニュース

8年前から不正アクセスされていたことが、今年になって判明したということです。報告されているインシデント対応やデジタルフォレンジック調査の内容について説明します。

今回のインシデントは、公開ウェブサーバが外部から不正操作され、攻撃者が複数のシステムに対する不正アクセスを行い、システムの構成情報が漏えいしている可能性があるというものです。原因として、情報システム担当者の不足やシステム運用やセキュリティ運用を行う仕組みの欠如といった組織的な要因に加え、システム上の脆弱性管理やファイアウォールなどのセキュリティ機器の活用が十分にできていなかったなどの技術的な要因が挙げられています。

対策として、執行部に報告するとともに、緊急対応措置としてウェブサーバを停止しています。その後もSOCから不審なアクセス検知の報告があったため、CISO及びCSIRTの判断で、同学のインターネット接続をファイアウォールで遮断し、学長をトップとする緊急対策本部を設置し、対応の検討を開始しています。再発防止策として、報告書では、情報システム担当チームの強化や脆弱性管理の仕組みの構築、セキュリティ機器の運用管理の徹底など組織的・技術的な対策を講ずるべきであると指摘しています。

被害を発生させた要因「ウェブシェル」

まず、攻撃者はリモートから不正操作を行うための悪性プログラムである「ウェブシェル」を設置しました。攻撃者はウェブシェルにアクセスして学内ネットワーク内のスキャンを実施し、その後、ネットワーク内の複数のサーバや端末に攻撃を行ったということです。

ウェブシェルとはWebサーバ上で動くバックドアです。例えば、みなさんは普段、どのようにして自宅に入るでしょうか。マンションの入り口にあるオートロックを開けて、エレベーターで上がって、家のドアを開けて、部屋に入るといったことが一般的かと思います。

では、一つ上の階の人が、避難はしごやベランダを通じて、窓から入ることはできるでしょうか。普段は窓の鍵を閉めているはずですが、暑い日に窓を開けていたりとか、窓を割られたりしたら、部屋に入れてしまうかもしれません。サーバのバックドアも同様で、通常はIDとパスワードなどの認証を経てサーバにログインできる正規の入口に対して、認証不要でサーバへログインできるような不正な入口を追加するものです。

改めて、ウェブシェルとは、ウェブファイル形式のコード実行環境のことで、ウェブバックドアとも呼ばれます。攻撃者がシステムに不正アクセスしたり、アクセスを維持したりするために使用する可能性があります。ウェブシェルは難読化されることがあり、検知が難しいと言われています。

「デジタルフォレンジック調査」とは

デジタルフォレンジック調査とは、不正アクセスや内部犯行の被害にあったシステムの技術的な調査をするものです。例えば、みなさんはテレビやネットで、刑事ドラマを見たことがありますか？犯罪現場では、指紋や血痕などの物理的な証拠が消えたり、変わったりしないように、警察官がまず保全をします。その後、収集したものを鑑定する場所に持ち帰って分析した上で、犯人や動機を特定します。デジタルフォレンジック調査も同様に、不正アクセスや内部犯行が行われた現場で、保全・収集・分析という3つの手順を経て、技術的な調査が行われるものです。改めて、デジタルフォレンジック調査とは、デジタルデバイスから収集されたデータを解析し、インシデントの真相を解明する手法です。情報漏えいや不正アクセスなどのセキュリティインシデントや、不正会計やデータ持ち出しなどの不法行為の調査に用いられます。