IT小僧の時事放談

流出したデータは4GB(ギガバイト)以上? 情報共有ツール「ProjectWEB」 富士通


マスコミは、面白おかしくニュースを選択する傾向があります。
特に民法のニュース番組は、スポンサーとの絡みもあり、本当は重大な事件なのに軽く取り扱われる傾向があります。

今回のIT小僧の時事放談は、
流出したデータは4GB(ギガバイト)以上 ProjectWEB 富士通
と題して富士通が運営する情報共有ツール「ProjectWEB」から顧客情報が流失について考えてみよう。

小難しい話をわかりやすく解説しながらブログにまとめました。

最後まで読んで頂けたら幸いです。

最新ニュース

警察庁のシステム情報も漏洩

 富士通が運営するプロジェクト情報共有ツール「ProjectWEB」が不正アクセスを受け顧客の情報が流出した問題で、警察庁のシステム情報も漏洩していたことが日経クロステックの取材で2021年9月6日までに分かった。

 警察庁は日経クロステックの取材に対し、流出した情報は「過去に運用していたシステムの設計情報など」と書面で回答。「当該システム撤去後においても富士通が(データを)廃棄しておらず、同社に対する不正アクセスにより情報が流出したと、2021年5月末以降に報告を受けた」(警察庁)と説明した。富士通に対して被害の実態を調査するよう求めているという。

日経Xtech 2021年9月7日

これは、富士通の責任は大きい

知らぬ存じぬでは、済まされない。

事件のあらまし

2021年6月16日 総務省の情報システムに関する情報が外部に流出したと発表

 総務省は2021年6月16日、同省の情報システムに関する情報が外部に流出したと発表した。情報システム関連業務の委託先である富士通から、同社が管理・運営するプロジェクト情報共有ツール「ProjectWEB」に不正アクセスがあったとの報告を受けたものだ。流出した情報には、総務省のシステムを構成する機器類などの情報、担当者の氏名、連絡先などの個人情報が含まれる可能性があるという。

日経XTECH

2021年8月11日 情報が流出した企業や機関が計129に及ぶと発表

 富士通は2021年8月11日、同社のプロジェクト情報共有ツール「ProjectWEB」が不正アクセスを受けた問題について、情報が流出した企業や機関が計129に及んだと発表した。同ツールの脆弱性を悪用されたことでIDとパスワードが流出し、不正アクセスにつながった可能性が高いことも明らかにした。

ProjectWEBはシステム開発などのプロジェクトにおいて、社内外の組織で情報をインターネット上で共有するためのツール。同ツールは富士通のデータセンターで稼働している。情報流出は2021年5月に判明し、これまで内閣官房内閣サイバーセキュリティセンター(NISC)や国土交通省、外務省、成田国際空港会社などが被害を公表していた。

富士通によると、流出した情報は顧客システムの機器に関する情報やプロジェクトの体制図、作業項目、打ち合わせメモ、進捗管理表など。一部には氏名やメールアドレスなどの個人情報が含まれていた。流出した情報の数などについては「非公表」(広報)とした。

日経XTECH

2021年8月20日 情報共有ツール「ProjectWEB」は、インターネット上でIDとパスワードだけのセキュリティしかなかった

 富士通が運営するプロジェクト情報共有ツール「ProjectWEB」が不正アクセスを受け顧客の情報が流出した問題で、同ツールに多要素認証(MFA)が実装されていなかったことが日経クロステックの取材で2021年8月20日までに分かった。

日経クロステックが入手したProjectWEBの「利用者操作手引き」によると、システム開発などに関する重要情報を保存・共有するツールにもかかわらず、インターネット上に公開したログイン画面からIDとパスワードだけで容易にアクセスできる状態で運用していた。さらに富士通は複数の被害顧客に対し、「IDとパスワードが流出した経緯は依然として特定できていない」と説明していることも明らかになった。

中略

情報流出は2021年5月に判明し、これまで成田国際空港会社や内閣官房内閣サイバーセキュリティセンター(NISC)、国土交通省、外務省、総務省、国立印刷局などが被害を公表している。

日経XTECH

システム開発などに関する重要情報を保存・共有するツールなのに二段階認証やIP縛りなどなく、ごく普通のユーザーIDとパスワードだけで管理されているとは、なんとも恐ろしい話である。
しかもユーザーに対して「IDとパスワードが流出した経緯は依然として特定できていない」と説明している。

しかもやられた先が非常にやばい

成田国際空港会社
内閣官房内閣サイバーセキュリティセンター(NISC)
国土交通省
外務省
総務省
国立印刷局

内閣官房内閣サイバーセキュリティセンター(NISC)は、このツールがやばいことを指摘しなかったのだろうか
どこが サイバーセキュリティセンター なんでしょうか!

そして中央官庁も軒並みやられている 外務省 とかやばくないですか?

盗まれた資料は、プロジェクト運営に関する資料(体制図、打ち合わせメモ、作業項目一覧、進捗管理表、社内事務手続きに関する資料など)と富士通は発表している。

参考までに

ProjectWEBは、システム開発などのプロジェクトにおいて、社内外の組織でインターネットを介して情報を共有するためのツール。もともとは社内向けツールとして1998年に開発され、2001年からは顧客やパートナー企業とも利用する形になった。サーバーは富士通のデータセンターで稼働しているが、現在はすでに運用を停止している。

日経XTECH

暴露サイトに掲載された

そして 最新の情報によると

 暴露サイトに、富士通から流出したとみられるデータが複数掲載されていることが2021年8月26日までに分かった。顧客のものと思われるシステム関連データで、データベース設計書やシステム管理設計書などが含まれる。

セキュリティー問題に詳しいS&Jの三輪信雄社長によると、暴露サイトに情報が掲載されたのは8月25日ごろ。流出したデータは4GB(ギガバイト)で、そのうち解凍後で56MB(メガバイト)分が証拠としてさらされているという。ファイルの中には、東レなどの名前が含まれていた。「仮に正式なデータであれば、サイバー攻撃に悪用される恐れのある重要な情報が流出している」と三輪社長は指摘する。流出経路などは分かっていない。

富士通広報は「暴露サイトに当社からの入手を示唆した情報が掲載されていることは把握している。情報の入手元が当社であるか否かを含め詳細は現時点で不明。詳細の回答は控える」とした。東レ広報からは期限までに回答を得られなかった。

富士通を巡っては、2021年5月に同社運営のプロジェクト情報共有ツール「ProjectWEB」への不正アクセスが判明し、成田国際空港会社や内閣官房内閣サイバーセキュリティセンター(NISC)など、計129の企業・機関の情報が流出したことが明らかになっている。今回の暴露サイトに掲載されたデータとの関連について富士通広報は「ProjectWEBからの流出を示すものは確認されておらず、関連はないものと考えている」と説明した。

日経XTECH

これで流失が確実になったわけですが、富士通側は

今回の暴露サイトに掲載されたデータとの関連について富士通広報は「ProjectWEBからの流出を示すものは確認されておらず、関連はないものと考えている」と説明した。

などと 呑気なことを言っている。
では、この暴露サイトに掲載されているものは、どうやって入手されたものなのでしょうか?

どうやって流失したのか?

富士通は、 「不正アクセスが判明してから3カ月以上経過」しているにもかかわらず IDとパスワードが流出した経緯がわかっていない。
一説によるとログも十分に残っておらず、いつから攻撃を受けていたのかも特定できない状況らしいことが 日経XTECHから報告されている。
結局、こえほどまでの情報流失に対して『何らかの脆弱性』などと発表しているだけで 結局何もわかっていない状態とも推測できてしまう。

やる気があるのかないのか?
これ以上 話を大きくしてほしくないのか?

日本のIT企業の元請けがこのようなことでいいんでしょうか?

まとめ

これほど、重要なデータ流失にたいして マスコミは、あまり報道していない。

もっとも ITに対して理解できない記者さんたちやキャスターが、きちんと説明できると思えないし、富士通という大スポンサーの手前忖度があるのかもしれない

と 思ってしまうよね。

富士通としてみれば、新型コロナの感染者が増えてことにより ニュースから消えてしまうことを期待して このまま ウヤムヤになるのを待っているのでしょうか?

こういう企業が、IT企業として税金を使ってのシステムの元請けとなっているわけです。
お役所もこういう失態をやらかした企業に対してペナルティをペナルティを科せることはしないのでしょうか?

結局、ズブズブな関係で予算(税金)を楽に抜き取ることに注力して 技術屋としてのプライドはどこに行ってしまったのでしょうか?

自分が関わっていたことの富士通はもっと骨のある技術屋さんばかりだったのに

-IT小僧の時事放談
-,

Copyright© IT小僧の時事放談 , 2021 All Rights Reserved Powered by AFFINGER5.