今年5月にプロジェクト情報共有ツールProjectWEBへの不正アクセスが明らかになった富士通が専任のCISO(最高情報セキュリティ責任者)を置くことを発表しました。これまで専任の役員を置いておらず兼任で対応していたようです。この問題をめぐる富士通の発表は今回で3回目となります。この問題の経緯と何が問われているのかについて整理してみたいと思います。
最初は社内で使用していた
そもそもプロジェクト情報共有ツールProjectWEBとはどのようなものなのでしょうか?富士通は大規模なさまざまなシステムを開発している企業です。例えば昨年10月に東京証券取引所のシステムが障害を起こし取引が出来なくなり大きなニュースになったことがありましたが、このシステム開発を手がけたのは富士通でした。ちなみに富士通と東証が開発したこの株式売買システムは2010年より稼働し世界最高水準の取引システムと言われました。しかし、2015年にリニューアルした際、異常発生時のバックアップシステムへの自動切り替えがオフとなり、オンにする作業をしていなかったため昨年10月の深刻なシステム障害を招いたようです。
大規模なシステム開発のプロジェクトでは大勢のエンジニアがかかわりますから、情報を共有して効率よく開発を進めていくことが必要です。プロジェクト情報共有ツールはそうしたシステム開発時のニーズに対応するもので、ツール内にはプロジェクトに関する様々なデータが保存されます。富士通ではもともと、プロジェクト情報共有ツールを社内向けに開発して使用していました。しかし、その後、顧客などが外部からアクセスして使用できるようにした経緯があるようです。
正規認証でログイン、脆弱性悪用された?
このプロジェクト情報共有ツールProjectWEBに不正なアクセスがあることを富士通が発表したのは今年5月25日でした。その際の発表で富士通は、不正アクセスがあったこと、顧客の一部情報が窃取されたこと、プロジェクト情報共有ツールProjectWEBの運用を停止したことを明らかにしています。富士通は8月11日に2回目の発表をしました。2回目の発表では①富士通が不正アクセスの可能性を認知したのが5月6日だったこと②被害を受けた顧客が129にのぼること③流出した情報にはシステムやプロジェクトに関する情報のほか顧客の氏名やメールアドレス等の個人情報が含まれること④不正アクセスは外部より正規の認証と通信によって行われたこと⑤外部の第三者が正規の認証によりログインできた理由についてはなんらかの脆弱性を悪用した可能性が考えられること―を明らかにしました。そして、3回目の発表では専任のCISOとCISO補佐を10月1日付けで任命することを明らかにし、セキュリティ体制を強化していくことを表明しています。
プロジェクト情報共有ツールProjectWEBの不正アクセスによる情報流出の被害は、これまでの報道等によると成田国際空港の運航情報管理システム関連のほか、内閣サイバーセキュリティセンター、国交省、外務省、総務省、警察庁などに及んでおり、富士通が明らかにした129の顧客のプロジェクトには国や地方の組織に関するシステム開発、主要な社会インフラにかかるシステム開発等が多く含まれていたのではないかと推測されます。流出した情報には、システム開発は終えていたが、データがProjectWEB内に残ったままになっていたものもあるようです。富士通は不正アクセスの可能性を5月6日に認知したようですが、いつから不正アクセスを受けていたのか明らかでありません。
外部有識者による委員会設置し検証
富士通では外部有識者による検証委員会も設置して原因と対応について調査、検証を行っています。不正アクセスについては正規のIDとパスワードを使って正当な認証と通信によって行われたとしており、犯人が正常認証によりログインできた理由については「本ツールの何らかの脆弱性を悪用した可能性が高いと考えている」と述べていますが、どのような脆弱性なのか明らかにしておらず詳細は不明です。
今回、セキュリティ体制の強化を発表した富士通ですが、社会のデジタルインフラや中央や地方の官公庁にかかるシステム開発に携わっている企業でもあるのですから、引き続き不正アクセスを受けた原因と被害実態を究明し明らかにして欲しいと思います。
■出典
https://pr.fujitsu.com/jp/news/2021/09/24-3.html