ISMAP登録の国産クラウドだが
ニフクラはもともと、国内のインターネット接続の草分けといえる旧ニフティが「ニフティクラウド」の名称で2010年に開始したパブリッククラウドサービスだ。富士通は2017年に同社を再編し、コンシューマー系事業を手掛けるニフティとクラウド事業を手掛ける富士通クラウドテクノロジーズを発足させた。
ニフティは家電量販店のノジマに売却されたが、富士通クラウドテクノロジーズは富士通傘下のまま、サービス名をニフクラに名称変更して事業を継続した。それ以来、米アマゾン・ウェブ・サービス(AWS)や米マイクロソフトなど「ハイパースケーラー」に対抗する国産クラウド勢の一翼を担ってきた。
ニフクラは2021年12月には、行政機関のシステム調達において必要なセキュリティー水準を満たしたクラウドサービスを評価する制度「政府情報システムのためのセキュリティ評価制度(ISMAP、イスマップ)」のリストにも登録されている。セキュリティー面では折り紙つきのはずだった。
攻撃対象となったロードバランサーとはその名の通り、サーバーへのアクセスを複数のサーバーに分散させて1台ごとの処理負荷を軽減する通信機器である。主にWebサーバーの負荷分散に利用されているが、メールサーバーやDNSサーバーなどの負荷分散にも使われる。インターネット向けのサービスを提供する企業にとって必須の機器と言える。
ロードバランサーは常に大量の通信トラフィックを中継しているため、ひとたびトラブルが発生すればサービスへの影響が大きい。サイバー攻撃も同様だ。
富士通クラウドテクノロジーズによる2022年5月16日の当初発表では、攻撃者がロードバランサー上にあった一部顧客の証明書データなどを窃取できる状態だったとした。その一方で、ロードバランサーを踏み台にしてクラウド基盤内部に侵入されたり、情報を外部に送信されたりした形跡は確認されていないとしていた。
ところがその後の調査で、5月4日から11日にかけては、暗号化通信であってもロードバランサーを平文の通信パケットとして通過したものは、攻撃者が窃取できる状態だったことが判明した。クライアントとサーバーの間をSSL/TLSで暗号化する通信を負荷分散する場合に、ロードバランサーで通信を復号し、ロードバランサーとサーバーの間は平文で通信するケースがある。そうしたパケットが窃取できる状態だった恐れがある。
同社は窃取可能な状態にあったデータについて、ロードバランサー上の証明書データや平文の通信パケット、ユーザー管理画面の利用データ、外部プログラムからクラウドを操作するためのAPI(アプリケーション・プログラミング・インターフェース)の利用データを挙げている。加えてロードバランサーを通過した通信パケットを収集した痕跡や、証明書データなどが圧縮されたファイルの痕跡もあったという。
脆弱性公開から対策まで7日間
パブリッククラウドにおいて重要な基盤であるロードバランサーで、不正アクセスを許してしまった富士通クラウドテクノロジーズ。要因は大きく2つある。
1つは既知の脆弱性への対応不備だ。同社の発表によれば、ロードバランサーのベンダーは2022年5月4日に脆弱性の情報を公開した。富士通クラウドテクノロジーズのロードバランサーへの不正アクセスは5月7日から始まった。そして同社が脆弱性を修正したのは5月11日だ。つまり同社は約7日間、既知の脆弱性を解消していなかったことになる。
攻撃の被害を最小限に抑えるには日ごろから脆弱性の情報を収集し、危険度の高い脆弱性が公開されたら、早急にセキュリティー更新プログラム(パッチ)の適用を検討するのが先決だ。なぜ富士通クラウドテクノロジーズは対策が後手に回ったのか。
同社や、同社と合同で緊急対策に当たった富士通は日経コンピュータの取材に対し、不正アクセスが発覚した詳細な経緯や対策内容を非開示としている。
サイバー攻撃者は標的とした企業の機器・ソフトウエアのバーションや稼働状況を調べ、パッチを当てていないサーバーなどを見つけ出して侵入を試みる。ソフトベンダーや機器ベンダーが脆弱性情報をインターネットで公表した直後は、その情報を参考にした攻撃が次々と出現することで被害が拡大しがちだ。富士通クラウドテクノロジーズのケースも、その1つだったと見られる。F5は脆弱性の影響を緩和する手法も公開していたが、富士通クラウドテクノロジーズがこの手法を適用していたか、同社は明らかにしていない。
