NTTコミュニケーションズに対する2つのサイバー攻撃が明らかとなった。延べ約900社・組織の顧客情報が外部に流出した可能性がある。撤去予定だった海外の運用サーバーの「隙」を突かれた。後日、社員になりすました不正アクセスも判明した。攻撃者は端末の多要素認証を無効化し、社内システムに入り込んでいた。
「まさか日本のセキュリティー業界のリーダーであるNTTコミュニケーションズが被害を受けるとは」。サイバーセキュリティーに詳しい業界関係者は口をそろえる。
NTTコムは2020年5月28日、サーバーなどの自社設備がサイバー攻撃を受け、顧客情報が外部に流出した可能性があると発表した。7月2日には、社員になりすました攻撃者から不正アクセスを受け、顧客情報の流出範囲が拡大した恐れがあることも公表した。
一連の攻撃により、防衛省や海上保安庁、厚生労働省など単純合算で延べ約900社・組織の通信関連工事情報が外部に流出した可能性がある。河野太郎防衛大臣は2020年5月29日の閣議後記者会見で、不正アクセスの報告を受けたと明らかにしたうえで「しっかり調査していただきたい」と要請した。監督官庁の総務省幹部も「現状把握と顧客対応をしっかりやってほしい」とくぎを刺す。
撤去予定の海外サーバーに「隙」
社内調査により、攻撃者の侵入経路は2通りあったことが判明している。
1つが顧客向けサービスの監視や障害の切り分けなどを担うシンガポールの運用サーバーを踏み台としたルートだ。攻撃者は2019年9月ごろに同サーバーに侵入。その後、タイなど複数の海外拠点を経由し、2019年12月に法人向けクラウドサービス「Bizホスティング エンタープライズ(BHE、2018年3月にサービスの提供を終了)」と「Enterprise Cloudオプションサービス」の運用サーバーに入り込んでいた。ここを足掛かりに法人向けクラウドの工事情報管理サーバーのほか、社内セグメントのアクティブディレクトリー(AD)運用サーバーや社内ファイルサーバーへと触手を伸ばしていた。
NTTコムは2020年5月7日、社内セグメントのADサーバーに対する不正な遠隔操作を試みたログを検知した。遠隔操作の踏み台になった同セグメントのAD運用サーバーを同日中に緊急停止し、社内調査を進めた。その後、AD運用サーバーのアクセス元だった法人向けクラウドの運用サーバーを停止したり、マルウエアによる外部サイトとの通信を遮断したりした。
実は、最初に侵入を許したシンガポールの運用サーバーは撤去予定だった。同サーバーを収容するデータセンターが老朽化し、2019年10月に新データセンターへの移転を計画していた。同サーバーも新しいものに切り替わる予定だった。まさに撤去直前のタイミングを攻撃者に突かれた。
同サーバーは撤去を間近に控えていたこともあり、セキュリティー上の脅威を検出するEDR(Endpoint Detection and Response)を導入できていなかった。NTTリミテッド・ジャパンの飯田健一郎社長は「もっと対策の感度を上げておくべきだった」と悔やむ。
攻撃者がどういった脆弱性を突いてシンガポールの運用サーバーに侵入したかについては「継続調査を実施したが、機器の撤去でログを確認できないため、原因を特定できなかった」(NTTコム)と説明する。
