見出し画像

第79話 地元カンパニー委託PCインシデントについて

吉田 晋 情報処理安全確保支援士(登録025036号)

2023年3月31日に地元カンパニーという企業から、セキュリティインシデントに関するプレスリリースがあった。

この度、弊社委託先においてPCへの不正アクセスを受ける被害が発生いたしました。
関係者の皆様へ多大なるご迷惑とご心配をおかけすることとなり、深くお詫び申し上げます。
(略)
1,事象の概要
● 弊社委託先PCにおいて、2023年3月16日11時頃、インターネット閲覧中に何らかのソフトウェアのインストールに誘導されたと思われる事象が発生いたしました
● 当該ソフトウェアを使用し第三者がPC上に保存されたデータに不正にアクセスを行った可能性があります
● 弊社システム上やクラウド上のデータへの不正なアクセスは確認されておりません
● 現時点で個人情報の不正利用などの二次被害は確認されておりません

2,被害発覚後の対応
事象判明後、2023年3月16日13時頃までに以下の対応を完了しております
● 当該PCをすべてのネットワークから遮断し、攻撃者からのアクセスを防止
● 委託先のアカウントから弊社システム及びデータへのアクセスを停止
● 委託先に貸与していた弊社システムのアカウントを停止
その後、以下の対応を実施しております
● 委託先が使用していたPCやアカウントから弊社システム及びデータへのアクセス履歴を確認
● 専門業者による調査を実施(現在調査中)
(略)
4,再発防止策
● PC上に個人情報を残さず、クラウド上で情報を扱う運用の徹底をおこないます
● 情報セキュリティに関する業務委託先選定の基準を見直します
● 委託先および社員に対し、情報セキュリティについての研修を実施いたします

https://www.jimo.co.jp/administration/wp-content/uploads/2023/03/20230331_news_unauthorized_access.pdf

セキュリティパッチも不完全で、運用ルールも守られていなかった可能性

このプレスリリースから読み取れるのは次のような内容だ。

  • 委託先PCは攻撃者Webサイトの誘導からマルウェアに感染したと考えられる。

  • インストールから対策完了までの時間が2時間程度と短時間であったため、感染直後にユーザが異常を感じる事象(PCのフリーズやロックなど)が発生した可能性が高いと考えられる。

  • 当該PCにはアタリマエ対策(セキュリティパッチ更新)が実施されていたかは不明。ただしゼロデイ攻撃であれば攻撃に関する手口が発表されている可能性が高いと思われる。しかし今回マルウェア関連の情報詳細が発表されていないため、マルウェアは既知のものであり、当該PCはセキュリティパッチ不完全であったことが感染の直接原因であった可能性が考えられる。

  • 地元カンパニーが発表した再発防止の内容から、もともと「委託PCに個人情報は保存させず、クラウド上で処理するフローだった」と考えられる。(クラウドで処理するように「変更した」ではなく「徹底した」という表現から)
    そして今回のインシデントは担当者がこの運用ルールを守らず、「個人情報を委託PCに保存させていた」ことによって発生した。

委託先PCの感染による個人情報漏洩の可能性


本インシデントに対する、対策方法と防御率をゼロトラストFTAで解析する。

個人情報を保存させない by システムで
d=0.95〜0.99

セキュアブラウザや仮想デスクトップなどの技術を使い、システム的に個人情報を保存させない仕組みであれば、防御率はほぼ1.0と考えられる。
今回のように特に、自分の会社のシステム管理管轄以外のPCで作業させる場合は、「システムで個人情報を保存させない」という対策が最も推奨される。

アタリマエ対策(セキュリティパッチ最新適用)by 運用ルール
d=0.7〜0.8

マルウェアに感染させない対策をPCに施すことで、今回のようなインシデントリスクは大幅に防げた。
ただしアタリマエ対策(PCのセキュリティパッチ適用)は、ゼロデイ攻撃は防ぐことが出来ないケースもあるため、d1=0.8〜0.9と定義する。
そして、運用ルールでアタリマエ対策を実施する場合は、やはり担当者がルールを実施しない可能性もあるため、更にd2=0.8〜0.9を乗じて、総合的なd=0.7〜0.8と考える。

個人情報保存させない by 運用ルール
d=0.5

運用ルールという対策の防御率は一般的に d=0.8〜0.9と考えられる。日本の社員のモラルが高いため、うっかりミスでない限りはルールを守るであろうという観点からだ。
しかし、その運用ルールを守ることで
・業務効率が落ちる
・手数が増える
・時間がかかる
というように「ルール遵守」と「業務効率」が相反する場合は、充分な監視や厳しい罰則がなければ、半数の社員はルールを守らないケースがあるとゼロトラストFTAでは考える。この場合は d=0.5 となる。
今回のインシデントのケースでは、もともと委託先PCに個人情報を保存させないルールであったと考えられる。しかし担当者がそれを守らなかったのは、クラウド上での作業よりも、PCローカルに保存させての作業の方がずっと楽ちんだからだったのだろうと考えられる。(効率が変わらない限り、社員は基本的にルールを守ろうとするから)
今回の再発防止は、やはり運用ルールの徹底という枠から出ていない。このインシデントの記憶が生々しい間はそのルールも守られるだろうが、委託先が代わったり担当者が代わった時期を想定すると、運用ルールだけに頼った対策では不充分ではないだろうか。

まとめ

効果的なセキュリティ対策とは

今回のインシデントの再発防止は
・セキュリティ教育を徹底する
・運用ルールを徹底する
・セキュリティ意識の高い委託先に変更を検討する
というもので、いずれも「人的対策」の域を出ていない。

しかしゼロトラストFTAのセキュリティの考え方は、漏洩があってはならない機密ほど
「人はミスをするのが前提」「人はルールを守らないのが前提」で対策を構成するべきである。

特に今回のように、会社の信用を損なうようなインシデントリスクがある場合は、人に依存しない再発防止が望まれる。


この記事が気に入ったらサポートをしてみませんか?