カテゴリー: I C T

パルスセキュアのVPNサービス テレワークで38社サイバー攻撃

心配していたことが、やはり起こりました。8/25付け日本経済新聞の一面トップ。「テレワーク 暗証番号流出 国内38社に不正接続」という記事。パルスセキュア社のVPNサービスを使っていた38社が修正プログラムを適用することなく使用し、不正アクセスを受けたようです。

パルスセキュアのVPNサービス

世界で2万社以上の顧客を持つ業界大手であり、昨年4月に自ら脆弱性について情報を公表、修正プログラムも提供されています。国内においてもJPCERTなどが再三注意喚起を行っていました。

昨年8月時点の情報では、この脆弱性を抱えたまま運用されているVPNサーバは世界で1万4500台あり、そのうち1511台が日本国内にあるといわれていました。

その後各社とも対策を講じ、今年3月末時点では国内にあった未対応の1511台は298台にまで減少しました。とはいえ、まだ300台も、、、この辺りからテレワークが盛んになってきます。

そして今回日経が伝えるところによると、国内では38社が不正アクセスを受けたとしています(海外を含めると900社超)。38社のうち日経が把握した被害企業としては、日立化成、住友林業、ゼンショーホールディングス、オンキョー、全薬工業、岩谷産業、ダイヘン、自動車総連などの名前があがっています。

フォーティネット、パロアルトネットワークス

今回はパルスセキュアのVPNが狙われ、脆弱性に対する適切な対応を怠った企業がその被害にあったというお話です。実は他にも脆弱性が注意喚起されていたVPN製品として、フォーティネット、パロアルトネットワークスの名前が4月時点であがっていました。

パルスセキュアほど多くはないかもしれませんが、この両社の製品に関しても、既知の脆弱性に対してパッチの適用や必要なシステムアップデートが行われず、不正アクセスを受けてしまったというニュースも、、、たぶんこのあと出てくるんでしょうね。

三菱重工 テレワーク(在宅勤務)中の社有PCがマルウエアに感染

少し前の話題ですが、三菱重工グループの従業員が、在宅勤務時に自宅で社有PCを利用中にマルウエアに感染するという事件がありました。テレワークの危険性については以前も書きました(サイバーセキュリティ 日本企業も本気になるか)が、この社有PCはその後会社のネットワークに接続され、感染を拡大させてしまいます。

サーバから情報流出するまでの経緯

4/29 同社グループの従業員が、在宅勤務時に自宅で社内ネットワークを経由せずに外部ネットワークへ接続、SNSを利用した際に、第三者から受領したウイルスを含んだファイルをダウンロードしたことにより、当該従業員の社有PCが感染します。

5/7 当該従業員が出社し、社内ネットワークに接続したことで、感染が拡大します。GW明けの出社ですね。

5/21 外部不正通信を検知し、調査を開始。不正アクセスを受けた機器が判明したため、ネットワークから遮断する等の初動対策を直ちに行った後、通信ログ等の解析を開始。

7/21 流出を確認した情報の精査を完了。  だそうです。

素朴な疑問

それにしても不思議なのは、社有PCでなんでSNSなんかにアクセスするんかねぇ。ってことです。在宅勤務中なんだから自宅のPCやスマホからにすりゃ良いのに。大きな会社だからこういうアホな社員の一人や二人は居るものかもしれませんが。

そしてもう一つは、三菱重工の開示のタイミングです。5/21時点、もしくはそれ以降7/21までのタイミングで情報漏洩の可能性に関する開示はできたはずです。実際の開示は遅すぎる8/7です。防衛関連企業ですから当局との調整等の時間が必要なことは分かりますが、あまりに時間かけすぎでしょう。

他でも既に起きている?

今回の三菱重工の開示。タイトルと本文では、在宅勤務中の事故であることが読み取れません。経緯を一覧表示している表中で初めてそれが書かれている程度。在宅勤務中の感染だったという事実を伏せて開示している企業もあるのかもしれませんね。

Zホールディングス ヤフーでID登録情報に関するシステム不具合が発生

8/6、Zホールディングスの開示した情報によると、ヤフーにおいてシステムの不具合が発生していたとのこと。同社の各種サービスで使用されるYahoo!JAPAN IDの登録情報を顧客が修正しようとした際、一部の顧客で自身のIDには反映せず、他者のID情報に反映された可能性があるとしています。

不具合の概要

不具合は7/29~8/4まで続いていたようです。ID登録情報の氏名、住所等のいずれかを編集しようとすると、修正内容が自身のID登録情報には反映されず、他者のID登録情報に誤って反映されるというもの。

他者はどうかというと、同じ時期に商品購入やID登録情報の閲覧などを行った顧客の一部で、自身のID登録情報に他のID登録情報が誤って上書きされているそうです。

となると、ID登録情報を編集しようとした顧客の情報は他者に閲覧された可能性がありますし、他者の注文した商品が届いたりもします。このパターンが最大52万件。

逆に、ID登録情報を上書きされた顧客の方は、住所等が変更されているので、注文した商品等が届かない可能性があります。このパターンが最大38万IDありうるとのこと。

こりゃ、かなりインパクトありそうですね。今のところ最大・・・としてるので件数は確定できませんが。幸い、ID登録情報にはメールアドレス、クレジットカード情報、金融機関の口座情報は含まれていないようです。

株価は

このシステム不具合の情報を受け、翌日のZホールディングスの株価は630円の15円安で取引を開始。その後は日経平均株価が弱含むなか切り返し、650円まで戻して取引を終えています。株式市場ではコロナで業績不振を心配しなくていい、数少ない銘柄ですしね。強いです。

ペイペイで100億円単位でキャンペーンやっちゃう同社ですので、影響の出た顧客に対する見舞金もかなり期待できる、、、などと考えるのは、、、不謹慎ですね。

住友重機械工業 今度はメール誤送信による個人情報の流出

この件、適時開示はされていません。ネットのニュースで見つけました。検査不正や従業員の使い込みなどで、不正・不祥事企業の定番になりつつある同社でしたが、今度は誤メールによる個人情報の流出です。インターンシップに応募した学生の情報443名分だそうです。

何とも考えにくいチョンボ

同社のお詫び文によると、7月15日(水)、同社の従業員が、メールアドレスの入力間違いにより1名の学生に、同社インターンシップに応募した学生443名の個人情報が記載されたファイルを添付して送信してしまいました。とのこと。

宛先は学生ですから、社外の宛先です。いまどき社外アドレスに送ろうとすると、アラート等で内容確認を促されるでしょうし、添付ファイル(エクセルファイル)まであるわけですから、ファイルの内容の再確認くらい求めてきますよね。それでもポチっとしてしまったと、、、。

発生後の対応は良好

7/15に発生し、記載はありませんがおそらく同日中に当該従業員が気付きます。送信先の学生に謝罪し、取り消しの依頼します。学生がファイルの中身を見ずに削除したことまでを確認しています。

そして7/17には同社ホームページで、「メール誤送信による個人情報の流出に関するお詫び」を掲載しています。72時間以内に必要な対応は完了させてますね。被害にあった443名の学生には、「直接、お詫びの連絡を差し上げております」としています。

流出した個人情報

氏名、性別、年齢、卒業予定年月、大学・学部・学科・専攻、研究室・指導教員名、研究テーマ、所属クラブ・サークル、インターンシップ応募部門、ご自身の長所、インターンシップを紹介した当社社員名、座談会コースへの応募状況。上記の他、当社としてのインターンシップ受け入れ可否の結果。。。これが流出情報。

一部のネット記事では、住所、電話番号も流出したかのような記載も見られますが、同社の開示では、住所、電話番号、メールアドレスについては含まれていないとしています。

公正取引委員会でもチョンボ

公正取引委員会が現在実施している、事業者に対するウェブアンケートにおいて、一部の事業者が回答した内容が他の事業者に閲覧可能な状態になっていた場合があることが判明したとのこと。先日の証券取引等監視委員会に次ぐ行政のチョンボですな。

ウェブアンケート

どういう事業者に対し、何を尋ねるアンケートだったんでしょう。そのあたりは言及していないのですが、専用の回答ページにおいて、7/20、11時45分頃から同日13時頃までの間、対象事業者がログインして回答の入力を行おうとすると、当該入力画面に他社が既に入力した内容が表示される場合があったそうです。

公取委のチョンボというよりは、ウェブアンケートのページ等を作りこんだ委託先事業者のチョンボといった方が良さそうですね。例えば、6/30付のお知らせでは「スタートアップの取引慣行に関する実態調査」の一環として、スタートアップを対象としたアンケート調査を実施、、、なんてのがあります。

この手のアンケート調査であれば、他の事業者の目に触れたとしても致命的な機密情報ではないかもしれませんが、事業者の回答に独占禁止法や下請法に抵触しかねない、通報的な情報などが含まれていたりすると厄介ですね。

意外に低姿勢

今回のこのお知らせの中では、「関係者の皆様に多大な御迷惑をおかけしましたことを深くお詫び申し上げます。」とか、「公正取引委員会は、売上高等の回答内容を他の対象事業者に閲覧された可能性のある対象事業者に対しては、個別にお詫びと説明をいたします。」

などと非常に低姿勢で謝罪しています。先日取り上げた証券取引等監視委員会の課徴金計算ミスに関するお知らせとは大違いです。「〇〇であるところ、誤って、××としたものである。」だけでお詫び等は一切なしですもんね。監視委員会のこの上から目線はどうもいただけません。