中間報告書がリリース
過去、記事を書いたマイネット社のサービス停止の件ですが中間報告書がリリースされました。勉強になる事例と考え内容を確認しました。
事実の確認
以下、各種ポイントについて確認していきたいと思います。
インフラ基盤はAWSではなくオンプレミスのデータセンターであったこと
まず、この点を勘違いしていました。都内のデータセンターでの出来事でありエンジニアが入館していることから、完全なオンプレミスのシステムであることがわかります。
メンテナンス用にVPNを設けているが、IPアドレス制限していなかったこと
メンテナンス用にVPNの入り口を設けていてそこから侵入されています。仮に社内オフィスからのアクセスではなく、別の場所からということであると、IPアドレス制限をしていなかったことになりますがどうでしょうか。
エンジニアが自宅からメンテナンスする場合があったりして、利便性を考えて制限してなかった可能性はあると思います(推測)。
1回目に、VPNのログインIDおよび、サーバーの特権ID両方とも突破されていること
2つのIDを同時に知っているということは、事前にこれらの情報を入手する手段を攻撃者は同時に持っていたということだと思います。
なお、1回目の攻撃の後、サーバーの特権IDのパスワードはこの時点で変えられたとあります。VPNについては不明ですが変えられた記載はありません。
2回目に、複数のアカウントで突破されていること
このあたりの記載は曖昧なのですが、VPNもサーバーも複数のアカウントでログインされたとあります。もしかすると、sudo権限がある別のアカウントがあり、パスワードなしで特権IDにスイッチしたのかもしれません。
IDの流出は、ビジネスチャットツール、グループウェア経由
報告書において、IDの流出はビジネスチャットやグループウェア経由だと推察されています。最近は、SaaSにてインターネット経由でアクセスして利用することもできますが、IDやパスワードといった重要な情報を保管していることを考えると、社内のサーバールームで運用していたのではないかと思います(推測)。
というのも、流出した情報の中にActive DirectoryのIDが触れられています。社内LANにVPNで侵入し、Active DirectoryのIDで何らかの共有端末にログインし、そこからビジネスチャットやグループウェアに侵入したというのが浮かびます(全くの推測なので間違っているかもしれません)。
社内事情を知らないと、この経由でのアクセスは難しいのではないかと思いました。
個人的な推測
攻撃を2度も執拗に行なっていたり、短時間に大規模なデータの削除を行えるその手際の良さを考えると、開発作業を行ったことのある社員、もしは過去の退職者、アウトソーシング(派遣、請負)にて開発作業を行った人などが思い浮かびました。またデータ削除が目的であることから、感情的(恨みなど)なものも感じます。全く外部の人間がここまでたくさんのアカウント情報を使い攻撃することは考えづらいところです。外部の人間としては手際が良すぎると思います。
ただこれは中間報告書から読み取れる情報からの私の勝手な推測であり、もはや警察へ通報し捜査中であることから、最終的な結論が出るのを待ちたいと思います。
教訓(今回の情報の中で)
今回の問題は、アクセスIDの流出が直接の原因だということがわかります。
・VPNアカウントの管理は命綱だということ。
・アクセス情報を知り得る人は社内以外にも複数いて、退職者・派遣/請負なども視野に入ってくる。定期的なアカウント棚卸やパスワード変更などが重要となってくる。
※追記
定期的なパスワード変更はやめよ、という論も出ていますが、この件はどうやって防げば良かったんでしょうね。退職した人がパスワードを持ち出しているリスクを考えるとやはり定期的に変えないといけないとは思うのですが。
攻撃者のIPアドレスまで割り出されていることから、捜査に進展がある可能性も高いと思います。最終報告書を待ち、参考にしたいと思います。