国産クラウドの一角である「ニフクラ」が不正アクセスを受けた。対象となったのは負荷分散装置で、既知の脆弱性を悪用された。負荷分散装置を通過する通信パケットが窃取された恐れがある。脆弱性の公開からパッチ適用まで1週間かかった隙を突かれた。ネットワーク防御装置にも設定不備があり、攻撃を許した。
富士通子会社の富士通クラウドテクノロジーズは2022年5月16日、運営するパブリッククラウドサービス「ニフクラ」と「FJcloud-V」の通信インフラがサイバー攻撃を受けたと発表した。ニフクラは自社で販売展開するサービスで、FJcloud-Vは富士通を販路とした際のブランド名だ。
富士通クラウドテクノロジーズによると、インターネットからニフクラのクラウド基盤へのアクセスを中継するロードバランサー(負荷分散装置)が、第三者により外部から不正アクセスされていた。原因は、ロードバランサーのベンダーが5月4日に把握して公表したソフトウエア脆弱性だ。
ロードバランサーのベンダーを富士通クラウドテクノロジーズは公表していない。脆弱性の内容や公表された日付などから、ロードバランサーは米F5ネットワークスの「F5 BIG-IP」であるもようだ。富士通クラウドテクノロジーズはニフクラの中で、顧客がF5 BIG-IPを専有利用できるサービスも提供している。
今回の脆弱性は、ロードバランサー上で任意のコマンドを実行できるという深刻なものだった。このため、ベンダーの公表から富士通クラウドテクノロジーズが2022年5月11日に脆弱性を解消するまでの間、同社のロードバランサーを通過する通信パケットを攻撃者が窃取できる状態にあった。
同社はその後の調査結果で、2022年5月7日から11日にかけて実際に「ロードバランサーを経由した通信の情報を収集した痕跡」も確認している。収集された通信パケットには認証情報や個人情報は含まれていなかったとするが、具体的な被害の範囲や内容ついては明らかにしていない。「当該サービスをご利用のお客様および関係者の方々には、多大なるご迷惑とご心配をおかけしたことを、改めて深くおわび申し上げる」。同社は2022年6月29日、再発防止策を自社サイトで説明した上で謝罪した。
