2013年7月23日にNTTコミュニケーションズのWebサイトが不正アクセスを受け、大切な顧客情報を漏えいさせるインシデントを発生させてしまった。
我々のセキュリティ対策の間隙を突かれて、不正プログラムが設置され、約400万件のメールアドレスとハッシュ化されたパスワード※が、外部に送信された。
侵入されたWebサーバは、新しいセキュリティ対策(WAF=Webアプリケーションファイアウォール)の導入を目前に控えていたこともあり、悔やんでも悔やみきれない。まさに痛恨の極みという言葉の意味を、身にしみて理解した瞬間である。
ご迷惑をおかけしたお客さまには、改めてお詫びを申し上げるとともに、当社が過去を反省し再発防止に向けて取り組んだ内容をご報告したい。読者の皆さまの参考になれば何よりの幸せである。
※「ハッシュ化されたパスワード」とは、パスワードそのものではなく、パスワードを特殊な計算手順で生成した値のこと。同じパスワードからは常に同じ値が得られ、逆にその値から元のデータを割り出することが極めて難しいため、パスワードの保管や照合によく用いられる。
システムの一元管理と
情報伝達(共有)の重要性
攻撃を受けた当時は、システム管理台帳と脆弱性対策を目的としたシステム管理DBが別々に存在した。残念ながら双方の管理情報は一致しておらず、全社でセキュリティ対策の対象を掌握しているとは言い難い状況であった。
また、システムの「単位」も統一された考え方が無かった。SaaS(クラウドアプリケーション)利用のアプリをシステムと称している場合や、サーバー100台構成を1システムと呼ぶ場合もあった。更に社内ではオンプレミス(自社サーバ)環境からプライベートクラウド環境への移行期だったので、システム主管組織がハードからソフトを一括して保守運用する体制と、クラウド環境を共用し保守運用を複数部門で分業する体制が混在していた。
まさに責任者不在状態に陥りかねない状態にあった。
振り返ると、不正アクセスを許しかねない「不幸」が重なっていたにも関わらず、警鐘を鳴らすことすらできなかった。ゆでガエルな思考停止状態だったと反省している。
例えば、当時から、新しい脆弱性が発生する都度、該当するシステム管理者に対策を促すメールを自動通知するシステムがあった。しかしシステムを構成するアプリやミドルウェアのバージョン情報の登録不備が看過されていたため、せっかくの脆弱性管理システムが有効に機能しない状態だったのである。適切な情報配信を行わない脆弱性管理システムは、狼少年と同じく悲劇をもたらす存在になりかねない。我々はこれらの問題に対して正面から取り組んだ。