富士通が運営するプロジェクト情報共有ツール「ProjectWEB」が不正アクセスを受け顧客の情報が流出した問題で、同ツールに多要素認証(MFA)が実装されていなかったことが日経クロステックの取材で2021年8月20日までに分かった。
日経クロステックが入手したProjectWEBの「利用者操作手引き」によると、システム開発などに関する重要情報を保存・共有するツールにもかかわらず、インターネット上に公開したログイン画面からIDとパスワードだけで容易にアクセスできる状態で運用していた。さらに富士通は複数の被害顧客に対し、「IDとパスワードが流出した経緯は依然として特定できていない」と説明していることも明らかになった。
ProjectWEBはシステム開発などのプロジェクトにおいて、社内外の組織でインターネットを介して情報を共有するためのツール。もともとは社内向けツールとして1998年に開発され、2001年からは顧客やパートナー企業とも利用する形になった。サーバーは富士通のデータセンターで稼働しているが、現在はすでに運用を停止している。
情報流出は2021年5月に判明し、これまで成田国際空港会社や内閣官房内閣サイバーセキュリティセンター(NISC)、国土交通省、外務省、総務省、国立印刷局などが被害を公表している。富士通の8月11日の発表によると、被害企業・機関は計129に及ぶ。
富士通は同日の発表で、流出した情報について「お客様のシステムに関する情報(システムを構成する機器類に関する情報など)、プロジェクト運営に関する資料(体制図、打ち合わせメモ、作業項目一覧、進捗管理表、社内事務手続きに関する資料など)、その他公開情報など」とした。
だが、実際には複数の顧客からシステムに関わる重要情報が流出していたことが日経クロステックの取材で判明している。具体的にはシステム構成図やIPアドレス、機器のIDとパスワードなども流出していたもようで、一部の顧客はサイバー攻撃が増える東京五輪の開幕前までに突貫工事でIPアドレスやパスワードなどの修正対応に追われた。
