全3432文字
PR

2021年5月、富士通の情報共有ツール「ProjectWEB」への不正アクセスが発覚した。成田国際空港会社や国土交通省、総務省など顧客の重要情報が相次ぎ流出。富士通の8月11日の発表によると、被害企業・機関は計129に達した。ただ「この数は少なく、被害組織はもっと多いはず」と関係者は指摘する。被害判明から3カ月以上たったが調査は難航。顧客の不満は高まる一方だ。

 「日本を代表するIT企業とは思えない対応だ。これだけの情報流出を起こしておいて、依然として納得いく説明がない」。ある中央省庁の担当者は怒りをあらわにする。「攻撃の手口や期間などの開示を再三にわたって求めているが、明確な回答がない。社内の専門家を集めて調査しているというが、スキルがないのは明白だ」。

 富士通は2021年5月25日、プロジェクト情報共有ツール「ProjectWEB」が不正アクセスを受け、顧客情報が流出したと明らかにした。同社は5月6日に不正アクセスに気付き調査を始めたが、3カ月以上が経過した8月末時点でも依然として攻撃の手口や被害の全容は分かっていない。

調査対象期間の拡大で被害が続々

 ProjectWEBはシステム開発などのプロジェクトにおいて、社内外の組織でインターネットを介して情報を共有するためのツールだ。もともとは社内向けツールとして1998年に開発され、2001年からは顧客やパートナー企業とも利用する形になった。富士通は利用プロジェクト数について「非公表」としているが、2009年時点で約8000プロジェクトの利用実績があったことが過去の公表資料で分かっている。被害に気付くまで使っていたことからも、利用プロジェクト数は数万件に及んでいたとみられる。

 ProjectWEBにおける情報流出が明るみとなったのは、成田国際空港会社が被害を公表した2021年5月20日だった。同社は空港内駐機場の稼働実績やスケジュールを管理する運航情報管理システムに関連する情報が外部に流出した可能性が高いとした。5月24日には内閣官房の内閣サイバーセキュリティセンター(NISC)が政府機関や重要インフラ事業者に対し、ProjectWEBによる情報流出の被害に遭っていないかを確認するよう注意喚起を出した。富士通はその翌日の5月25日になって初めて、ProjectWEBへの不正アクセスを対外的に公表した。

 被害は続々と明らかになっていく。5月26日には国土交通省や外務省に加え、注意喚起を出したNISC自身も情報流出があったと公表した。6月16日には総務省、6月28日には国立印刷局も情報流出を発表。総務省は当初、情報流出はないと報告を受けていたが、「富士通が調査対象期間を広げて過去に遡ったところ、情報流出の事実が判明した。富士通から連絡を受けたのは6月16日」(担当者)とした。

 日経コンピュータの取材によると、富士通は初期の対応では2週間~1カ月の期間でログを解析した結果に基づいて被害の有無を顧客に通知していたもようだ。その後、調査対象を広げたため、期間をおいて新たな被害が続々と発覚した。このほか、東京五輪・パラリンピック大会組織委員会に関する情報流出も判明。富士通の時田隆仁社長は丸川珠代五輪相を訪ね、経緯を説明し謝罪する事態となった。9月6日には日経コンピュータの取材により、警察庁においても過去に運用していたシステムの設計情報などが流出していたことが新たに分かった。

攻撃者は管理用アカウントに侵入か

 富士通が第2報を出したのは初報から2カ月以上が経過した8月11日になる。情報が流出した企業や機関は計129に達し、攻撃者は正規のIDとパスワードを使って不正アクセスしていたと明らかにした。攻撃者がIDやパスワードを入手できた理由については「本ツールの何らかの脆弱性を悪用した可能性が高い」と結論づけた。

 なぜ攻撃者は複数のIDとパスワードを入手できたのか。日経コンピュータの取材によると、富士通はある顧客に対して「すべてのプロジェクトのURLとID、パスワードを管理する『管理用アカウント』が不正アクセスされた」と説明していたことが分かっている。8月11日の発表と合わせると、ツールの脆弱性を突かれて管理用アカウントが不正にアクセスされた可能性が高いと同社はみていることになる。

 ProjectWEBはプロジェクトごとにアクセス先のURLが異なる。具体的には「https://〇〇〇〇.jp/△△△XXXX/」というURLのうち、「XXXX」の部分はプロジェクトごとにランダムな4桁の英数字となることが分かっている。仮に利用企業・機関が、容易に推測できるIDとパスワードを設定していたとしても、それだけでは不正アクセスはできない。IDとパスワードだけでなく、URLも含めた3点が流出したもようだ。

 攻撃者は管理用アカウントへ何らかの方法で不正アクセスし、そこで入手した情報を元に複数プロジェクトのアカウントにログインしたとみられる。日経コンピュータが独自に入手したProjectWEBの攻撃者のものとみられるIPアドレスによると、中国政府との関係が噂されるサイバー攻撃集団の犯行の可能性がある。管理用アカウントへの不正アクセスについて富士通に問い合わせが、回答を得られなかった。