PR
 

 「電子メールのセキュリティを高める一定の対策をしており、今回のような不正侵入が起こるとは想定できていなかった」――。

 産業技術総合研究所(AIST)は2018年7月20日、2018年2月に発覚した電子メールなどへの不正アクセス事件の調査結果を公表した。調査を担当した環境安全本部長を務める島田広道理事は説明会見で冒頭のように語り、ショックを隠さなかった。

産業技術総合研究所つくばセンターにある研究棟の一つ(茨城県つくば市)
産業技術総合研究所つくばセンターにある研究棟の一つ(茨城県つくば市)
[画像のクリックで拡大表示]

 今回の不正アクセス事件で攻撃者が執拗に狙ったのが電子メールだった。産総研は米マイクロソフトが提供するクラウド型の電子メールサービス「Office 365」を採用している。攻撃者からログイン用IDを容易に類推できないよう、メールアドレスとは異なる複雑な文字列を管理者が発行する方式を採っていた。

 にも関わらず、攻撃者は本格的な攻撃開始から2カ月あまりで100人分もの電子メールアカウントへの不正ログインに成功。最終的に143人のアカウントに不正にログインし、メールの内容を閲覧したり添付ファイルをダウンロードしたりするなど様々な操作ができる状態になっていた。

攻撃手順の概要。電子メールへの不正ログイン(右)と外部サーバーを経由したイントラネットへの侵入(左)を組み合わせた
攻撃手順の概要。電子メールへの不正ログイン(右)と外部サーバーを経由したイントラネットへの侵入(左)を組み合わせた
(出所:産業技術総合研究所)
[画像のクリックで拡大表示]

 しかも今回の攻撃の過程で、電子メールのログイン用IDのリストが漏えいしたことが判明した。産総研は常勤と契約雇用を合わせて約6000人の研究者・事務職員を抱える。共同研究で連携する企業や大学機関の研究者に発行したメールアドレスなども含めると約8000人分のメールアカウントを管理している。

 この8000人分の全アカウントに対し、正規のIDを使ってパスワードを割り出そうとする「総攻撃」が行われていたのだ。

 「ログインIDをメールアドレスとは全く異なる文字列にする」というセキュリティ対策は、様々な情報システムで有効とされる。特にビジネスメール詐欺(BEC)を防ぐ対策の1つとして、クラウド型電子メールと組み合わせて使う企業が増えている。

 しかし今回の攻撃者は、何らかの方法を使ってこの対策を無力化することに成功した。電子メールのセキュリティ対策に重要な教訓を残したといえる。

最初の不正ログインで全IDが漏えいか

 産総研が公表した報告書によれば、今回の攻撃者によるサイバー攻撃は2017年10月に始まり、攻撃が発覚する2018年2月6日まで継続的に攻撃を受けていた。第1段階の攻撃では、産総研が使っているOffice 365に対し、IDとパスワードを総当たりで試行入力するブルートフォース攻撃が行われた。