セキュリティブログ

【内閣府/不正アクセス】内閣府のFileZenへの不正アクセスについてまとめてみた

2021.04.26

※内閣府のFileZenへの不正アクセスについてまとめてみた/piyolog/2021年4月25日

内閣府の外部とのファイル共有に不正アクセス

内閣府職員等が利用する「ファイル共有ストレージ」に対する不正アクセスについて

  • 不正アクセスを受けたのは内閣府、内閣官房、個人情報保護委員会、復興庁の4組織の職員等が利用する内閣府LAN内に設置されたサーバー。
  • サーバーは外部とのファイル共有用途で設置されたソリトンシステムズの「FileZen」
  • 内閣府はメール送信先誤りや記録媒体紛失の発生時に情報流出を防止する目的で利用していた。
イベント参加者情報流出の可能性
  • 流出の可能性があるのはサーバー上に保管されていた231名分の氏名、所属、連絡先等を含む個人情報。内閣府が関わったイベント申込者等の情報。*1
  • 実際にファイルが外部へ流出したかはFileZenのアクセスログが残っていなかったため、内閣府は確認ができておらず可能性の言及となっている。
  • 大容量データ(数GBに及ぶ)の断続的な送信、流出範囲の今後の拡大懸念等が報じられたことに対し、内閣府が補足発表を行っており、1回あたりの送信データ量でギガ単位は確認されていないこと、不正アクセス検知後の遮断を行っているために流出拡大はないと見解を公表している。

内閣府職員等が利用する「ファイル共有」ストレージに対する不正アクセスについて(補足)

ログ残っておらず事案発覚
  • 内閣府LAN運用委託事業者(富士通)がFileZenの操作ログが残っていないことに気づいたことが発端。ソリトンシステムズの調査により、管理者アカウントを第三者が用いて不正ログインしていることが判明。*2
  • 不正アクセスが発覚した2021年1月当時、FileZenには未修正の脆弱性が存在しておりこれを悪用されたことが侵入の原因。サーバー上のファイルを外部から操作することが可能となっていた。遅くとも2020年3月時点で不正アクセスが確認されていたことが報じられている。*3
  • サーバー利用時に必要となるアカウント情報(ID、パスワード)を窃取するマルウエアが発見されており、職員のアカウント情報が流出した可能性がある。
  • サーバー内のファイルが圧縮されており、外部よりアクセス可能な場所へ保存されていた。圧縮機能はFileZen自体には存在せず、外部から圧縮処理を可能とするソフトウエアが持ち込まれた可能性がある。海外のIPアドレスから外部アクセス可能な場所へ接続した痕跡が確認された。

※ここまで

内閣府が使うシステムでもインシデントは起こりうると、皆様には改めてお含みおき頂くと同時に、サーバセキュリティ対策として当社「イージス」を引き続きご愛顧頂けますと幸いです。