お知らせ詳細
Detail

不正アクセスのよる情報流出の可能性の調査最終報告
2019.01.24

2018年12月20日発表の「当社利用の株式会社ベーシックのサービス「ferretOne(フェレットワン)」不正アクセスによるお客様情報の流出の可能性に関する経緯報告書」について、お客さまおよび提携先企業の皆様、関係者の皆様には多大なるご心配とご迷惑をおかけしましたことを、心よりお詫び申し上げます。
弊社で利用しているferretOne(株式会社ベーシック運営 以下ベーシック社)のサーバへ2018年9月17日から12月6日にかけて不正アクセスおよびお客様情報流出の可能性があることが判明したため、本件を公表し、発生の原因について、ベーシック社側で詳細な調査を行いました。
第三者機関によるフォレンジック調査*1 およびベーシック社の調査の結果、弊社サイトの情報を含むベーシック社が管理するお客様情報のファイルが流出した痕跡は確認されませんでした。このたびの経緯ならびに第三者機関による調査の結果、再発防止策等について下記の通りご報告いたします。
概要・調査概要・経緯
2018年12月6日、ベーシック社で利用しているクラウドサービス(AWS*2)において、不正アクセスの形跡を確認し調査した結果、不正アクセスを受けていたことが判明しました。その後、ベーシック社にて調査を進めた結果、2018年9月26日午前1時26分に同クラウドサービスへの不正アクセスがあり、同サーバには弊社サイトで利用している「ferret One」のお客様情報のバックアップデータ等が格納されたファイルが存在し、攻撃者がアクセス可能な状態にありました。そのため、不正アクセスの経路を遮断するとともに、セキュリティ強化などの緊急対策を講じ、原因究明のため2018年12月12日より第三者機関によるフォレンジック調査およびベーシック社調査を進めてきました。
ベーシック社の調査概要
背景:
2018年12月6日に、ベーシック社が利用しているAWSサーバの高額な課金を検知。
当該現象に係る調査を実施し、ベーシック社外からの不正アクセスの可能性を認識。
不正アクセスに係る詳細なベーシック社調査を実施。以下の事象を確認しました。

①2018年12月6日、ベーシック社従業員が利用していたAWSアクセスキーが不正利用され、仮想サーバEC2 *3インスタンスが不正に作成され起動されたこと。
②不正に作成および起動されたEC2インスタンスは、仮想通貨の一つであるEthereumを採掘するためのシステムを動作させるためのものであると思われること。
③不正アクセスは海外のいくつかのIPアドレスから行われていること
④不正に作成起動されたEC2インスタンスに係る費用は、$1166.55であること
⑤情報流出の事実(ログや痕跡)は確認できていないものの、不正利用されたAWSアクセスキーを使用して、個人情報へアクセスすることは技術的に可能な状態であったこと
目的:
上記のベーシック社調査では明らかにならなかった以下の事項を確認することを目的として、第三者機関によるフォレンジック調査ならびにベーシック社調査を実施。

① 不正利用されたAWSアクセスキーが流出した経路を特定すること
② 当該不正アクセスによる被害範囲を特定すること
ベーシック社の対応経緯
2018年12月6日10:39
クラウドサービス内に不正なサーバの構築を確認。対象サーバを停止し、不正アクセスの可能性調査を開始
2018年12月6日11:03
不正アクセスの原因となった認証キーを特定し、無効化
2018年12月6日11:03
認証キーの再作成を実施
2018年12月6日11:27
流出した認証キーが個人情報を含むファイルにアクセス可能な権限であることを確認、他に被害がないか調査開始
2018年12月7日15:30
警視庁へ連絡第三者機関の手配を開始
2018年12月10日20:00
IPA 不正アクセスについての届け出提出
2018年12月12日11:10
個人情報保護委員会へ報告
2018年12月12日13:00
第三者機関によるフォレンジック調査開始
2019年1月17日16:00
第三者機関によるフォレンジック調査終了ならびに報告書の受領
2019年1月24日14:00
最終報告書を公開
ベーシック社の調査結果

【調査目的】
AWSアクセスキー流出原因の特定
【調査項目】
①アクセスキーを知り得たベーシック社従業員のPC27台におけるマルウェア感染痕跡有無
②ベーシック社チャットツールSlack*4ログにおいて不正利用されたAWSアクセスキーのメンバー内共有範囲の特定
【調査結果】
①マルウェア感染の痕跡は認められず
②ベーシック社従業員27名に対してSlackにて共有が行われていたことを確認
【調査目的】
不正アクセス被害範囲の特定
【調査項目】
不正利用されたAWSアクセスキー以外のベーシック社が保有するAWSアクセスキーの不正利用の有無
【調査結果】
不正利用の痕跡は認められず
【調査目的】
不正アクセス元の特定
【調査項目】
不正アクセスのアクセス元分析
【調査結果】
アメリカ、チュニジアなどのIPアドレスからの不正アクセスのログを確認
【調査目的】
お客様情報流出有無の特定
【調査項目】
不正アクセスを受けたサーバ(ECサーバ、S3*5 )内データダウンロード履歴の有無
【調査結果】
情報流出の痕跡は確認されず
ベーシック社の再発防止策
第一報のお知らせ後、以下の対策を実施いたしました。
事象の再発を防ぐための対策:
・AWS へのアクセスは指定 IP アドレスからの接続に限定
・AWS アクセスキーの権限を必要最低限に限定
・不要なアカウントの棚卸しと削除
・お客様情報のバックアップデータをS3 のバケット単位で分離(実施中)
・バックアップデータそのものをAWSの暗号化サービスKMS*6を用いて暗号化(実施中)
・二段階認証の導入
・アクセス制御のポリシーの見直し
・情報セキュリティマネジメントの徹底
事象発生を早期に検知するための対策:
・AWS アクセスキーの利用ログを詳細に監視
当該事象に関する専用窓口
株式会社識学 経営推進部
電話番号:03-6821-7560
受付時間:9時~17時
用語説明
・フォレンジック調査:サーバのログファイルから不正アクセスの記録を見つけ出すことで、情報流出の有無や範囲を判断する調査。
・AWS:Amazon Web Serviceの略。Amazonが提供するクラウドサービスの総称。クラウドコンピューティングを利用したデータベース・サーバやストレージなどのサービスを提供。
・EC2:EC2は「Elastic Compute Cloud」の略。AWS上に仮想サーバを作るサービス。
・Slack:Slack社が提供するビジネスチャットアプリ。
・S3:「Simple Storage Service」の略。AWSにおけるオンラインで使えるストレージのこと。
・KMS:Key Management Serviceの略。AWSが提供するデータの暗号化に必要な暗号化キーの作成と管理を容易にするマネージド型サービス。