5カ月にわたるサイバー攻撃でメールID8000件や研究文書300点以上が漏洩した。引き金は電子メールの全ログインIDを盗み取られたことにある。攻撃者はIDリストの中から脆弱なパスワードを探し出し、140人あまりのアカウントに不正ログインした。攻撃者の正体や手口の詳細は現在も謎のままだ。

 「電子メールのセキュリティを高める対策は取っていた。これほどの不正侵入は想定できなかった」──。

 国立研究開発法人の産業技術総合研究所は2018年7月20日、同年2月に判明した不正アクセス事件の調査報告を公表した。情報セキュリティを担当する島田広道理事 環境安全本部長は冒頭のように語り、ショックを露わにした。調査の結果、産総研が職員や研究者らに割り当てている全8000人分のメールIDが攻撃者側に漏えいしていたことが判明したからだ。

 産総研は米マイクロソフトのクラウド型電子メール「Office 365」を2015年から使っている。Office 365などのメールサービスはメールアドレスをログインIDとしても使うことが多く、不正アクセスの攻撃者にとってはIDを推測しやすい。

 産総研はメールアドレスと異なる文字列をIDに設定する使い方で、不正ログインを難しくしていたはずだった。しかし攻撃者は利用者しか知らないはずの全IDの入手に成功。これらのIDを基に脆弱なパスワードを割り出す総攻撃を仕掛けていた。パスワードが破られたアカウントは143人分に上った。他の攻撃手法によるものも含め、最終的にメールID8000件のほか個人情報や研究資料が流出した。

1カ月以上ネットを遮断し対策

 「何だ、このアクセスは」。産総研で不正アクセスが判明したのは2018年2月6日のことだ。情報システム管理に携わるSEの職員が偶然、自らのアカウントに不審なアクセスを発見したことがきっかけだった。その職員が使うはずのない、国内のある大学が持つIPアドレスを使ったログイン履歴が残っていた。

 不正アクセスの事実は直ちに産総研内のCSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)、さらに理事長ら幹部、経済産業省などに緊急報告として上がった。

 CSIRTは緊急対策に動いた。インターネットからも利用できたOffice 365をイントラネット内だけでしか使えないようにした。そのうえで不正ログインの痕跡を調べ、第1発見者のSEを含め痕跡が見つかった41人分のメールのパスワードを強制的に変更した。

 翌7日には情報セキュリティ対策本部を設置し、被害範囲の究明に動き出した。調査の結果、業務系やファイル共有などの内部システムにも不正アクセスされていた事実が判明。13日に事故を公表した。安全のため同日にイントラネットとインターネットの接続を遮断した。

 この時点では不正アクセスの全容を把握できておらず、業務系など内部システムの大半も停止させた。緊急性が高い内部システムは2月下旬から段階的に再開したものの、インターネット接続を全面的に再開できたのは4月1日と問題発覚から約2カ月後となった。その間、ネットを使った研究活動などに支障が生じた。

漏洩の経路は解明できず

 攻撃手段の解析にはさらに3カ月かかり、全容をまとめた報告書の公開は7月20日まで遅れた。

 報告書によれば攻撃者はまず電子メールシステムに攻撃を仕掛けてアカウントに不正アクセスした。攻撃は2017年10月に始まり、攻撃が発覚する2月6日まで断続的に続いた。まず攻撃者は産総研のOffice 365のアカウントに対し、IDとパスワードを総当たりで入力する「ブルートフォース攻撃」を始めた。10月27日には1人めのアカウントへの不正ログインに成功。10月30日から31日にかけて8人のアカウントにも不正に侵入した。

 産総研はメールアドレスと異なるIDを設定していたものの、推測しにくいIDを設定することを職員に義務付けてはいなかった。IDの文字列は利用者が初回ログイン時に自ら決めるルールとし、長く複雑な文字列を強制する仕組みを設けていなかった。このため一部の職員は類推しやすいIDを設定してしまった。

 実際、攻撃者が不正侵入できたアカウントのIDは簡易な文字列が大半だったという。パスワードも短く簡単なものが多かった。

 11月に入るとメールへの攻撃方法が一変した。複雑な長い文字列も含めて、正しいIDを入力してからパスワードを試行入力する攻撃が急増したのだ。しかも攻撃対象は産総研が管理する全アカウントだった。

 産総研が管理するアカウントは職員のほか期間契約を含む研究職、企業や学生などの一時的な共同研究者、協力会社の関係者など合計約8000人分。この8000人分のIDリストを使った総当たり攻撃が始まった。これにより攻撃者は11月1日には48人、翌2日に45人、11月8日に87人(重複を含む)と次々に不正侵入に成功。12月末までに計100人分のアカウントが不正侵入を受けた。

この先は有料会員の登録が必要です。「日経コンピュータ」定期購読者もログインしてお読みいただけます。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら