お知らせ
News

不正アクセスによる一部データ流出の可能性に関する
詳細調査のご報告(最終報) 

2018年12月20日発表の「当社利用の株式会社ベーシックのサービス「ferretOne(フェレットワン)」不正アクセスによるお客様情報の流出の可能性に関する経緯報告書」について、お客さまおよび提携先企業の皆様、関係者の皆様には多大なるご心配とご迷惑をおかけしましたことを、心よりお詫び申し上げます。

弊社で利用しているferretOne(株式会社ベーシック運営 以下ベーシック社)のサーバへ2018年9月17日から12月6日にかけて不正アクセスおよびお客様情報流出の可能性があることが判明したため、本件を公表し、発生の原因について、ベーシック社側で詳細な調査を行いました。

第三者機関によるフォレンジック調査*1 およびベーシック社の調査の結果、弊社サイトの情報を含むベーシック社が管理するお客様情報のファイルが流出した痕跡は確認されませんでした。このたびの経緯ならびに第三者機関による調査の結果、再発防止策等について下記の通りご報告いたします。

ー 記 ー

 

1.流出の可能性がある情報の詳細

https://corp.shikigaku.jp/

 

2.本件の概要ならびに調査概要、経緯

2018年12月6日、ベーシック社で利用しているクラウドサービス(AWS*2)において、不正アクセスの形跡を確認し調査した結果、不正アクセスを受けていたことが判明しました。その後、ベーシック社にて調査を進めた結果、2018年9月26日午前1時26分に同クラウドサービスへの不正アクセスがあり、同サーバには弊社サイトで利用している「ferret One」のお客様情報のバックアップデータ等が格納されたファイルが存在し、攻撃者がアクセス可能な状態にありました。そのため、不正アクセスの経路を遮断するとともに、セキュリティ強化などの緊急対策を講じ、原因究明のため2018年12月12日より第三者機関によるフォレンジック調査およびベーシック社調査を進めてきました。

<ベーシック社による本件調査の概要>

背景

2018年12月6日に、ベーシック社が利用しているAWSサーバの高額な課金を検知。当該現象に係る調査を実施し、ベーシック社外からの不正アクセスの可能性を認識。不正アクセスに係る詳細なベーシック社調査を実施。以下の事象を確認しました。

①2018年12月6日、ベーシック社従業員が利用していたAWSアクセスキーが不正利用され、仮想サーバEC2 *3インスタンスが不正に作成され起動されたこと。

②不正に作成および起動されたEC2インスタンスは、仮想通貨の一つであるEthereumを採掘するためのシステムを動作させるためのものであると思われること。

③不正アクセスは海外のいくつかのIPアドレスから行われていること

④不正に作成起動されたEC2インスタンスに係る費用は、$1166.55であること

⑤情報流出の事実(ログや痕跡)は確認できていないものの、不正利用されたAWSアクセスキーを使用して、個人情報へアクセスすることは技術的に可能な状態であったこと
目的

上記のベーシック社調査では明らかにならなかった以下の事項を確認することを目的として、第三者機関によるフォレンジック調査ならびにベーシック社調査を実施。

① 不正利用されたAWSアクセスキーが流出した経路を特定すること

② 当該不正アクセスによる被害範囲を特定すること

 

3. ベーシック社の対応経緯

日時 概要
2018年 12月 6日 10:39 クラウドサービス内に不正なサーバの構築を確認。対象サーバを停止し、不正アクセスの可能性調査を開始

2018年 12月 6日

11:03

不正アクセスの原因となった認証キーを特定し、無効化

2018年 12月 6日

11:03

認証キーの再作成を実施 
2018年 12月 6日 11:27 流出した認証キーが個人情報を含むファイルにアクセス可能な権限であることを確認、他に被害がないか調査開始
2018年 12月 7日 15:30 警視庁へ連絡第三者機関の手配を開始
2018年 12月 10日 20:00

IPA 不正アクセスについての届け出提出

2018年 12月 12日 11:10

個人情報保護委員会へ報告

2018年 12月 12日 13:00

第三者機関によるフォレンジック調査開始

2019年 1月 17日 16:00 第三者機関によるフォレンジック調査終了ならびに報告書の受領
2019年 1月 24日 14:00 最終報告書を公開

 

4.ベーシック社の調査結果

第三者機関によるフォレンジック調査ならびにベーシック社調査の結果、AWSアクセスキーの流出原因については特定されませんでした。尚、ベーシック社で管理するお客様情報のファイルが流出した痕跡は確認されませんでした。ベーシック社および弊社のお客様より、不正アクセスによるお客様情報を利用された可能性や被害報告なども現在まで頂いておりません。

 調査目的 調査項目   調査結果
AWSアクセスキー流出原因の特定  アクセスキーを知り得たベーシック社従業員のPC27台におけるマルウェア感染痕跡有無 マルウェア感染の痕跡は認められず
ベーシック社チャットツールSlack*4ログにおいて不正利用されたAWSアクセスキーのメンバー内共有範囲の特定 ベーシック社従業員27名に対してSlackにて共有が行われていたことを確認
不正アクセス被害範囲の特定 不正利用されたAWSアクセスキー以外のベーシック社が保有するAWSアクセスキーの不正利用の有無 不正利用の痕跡は認められず

不正アクセス元の特定

不正アクセスのアクセス元分析 アメリカ、チュニジアなどのIPアドレスからの不正アクセスのログを確認
お客様情報流出有無の特定 不正アクセスを受けたサーバ(ECサーバ、S3*5 )内データダウンロード履歴の有無 情報流出の痕跡は確認されず

 

5.ベーシック社の再発防止策

第一報のお知らせ後、以下の対策を実施いたしました。

事象の再発を防ぐための対策 AWS へのアクセスは指定 IP アドレスからの接続に限定
AWS アクセスキーの権限を必要最低限に限定
不要なアカウントの棚卸しと削除

お客様情報のバックアップデータをS3 のバケット単位で分離(実施中)

バックアップデータそのものをAWSの暗号化サービスKMS*6を用いて暗号化(実施中)
二段階認証の導入
アクセス制御のポリシーの見直し 
情報セキュリティマネジメントの徹底
事象発生を早期に検知するための対策 AWS アクセスキーの利用ログを詳細に監視

現在のところ、お客様情報の不正利用等の二次被害は確認されておりませんが、万一不審なメール等の連絡がございましたら、大変お手数をおかけしますが、下記のお客様ご相談窓口までご一報いただけますようお願い申し上げます。

【お問い合わせ先】
株式会社識学 経営推進部
TEL:03-6821-7560
受付時間:9時~17時

*1 フォレンジック調査:サーバのログファイルから不正アクセスの記録を見つけ出すことで、情報流出の有無や範囲を判断する調査。
*2 AWS:Amazon Web Serviceの略。Amazonが提供するクラウドサービスの総称。クラウドコンピューティングを利用したデータベース・サーバやストレージなどのサービスを提供。
*3 EC2:EC2は「Elastic Compute Cloud」の略。AWS上に仮想サーバを作るサービス。
*4 Slack:Slack社が提供するビジネスチャットアプリ。
*5 S3:「Simple Storage Service」の略。AWSにおけるオンラインで使えるストレージのこと。
*6 KMS:Key Management Serviceの略。AWSが提供するデータの暗号化に必要な暗号化キーの作成と管理を容易にするマネージド型サービス。

 

その他の記事はこちらから