#985 TOKAIコミュニケーションズ提供の「OneOffice Mail Solution」に不正アクセス、個人情報漏えいの可能性

企業の重要なコミュニケーション基盤であるメールシステムが、外部からの攻撃を受けるという事案についてお話しします。今回は、個人のパソコンがウイルスに感染したのではなく、メールサービスを提供している事業者のサーバーそのものが、ネットワーク機器の脆弱性を突かれて不正アクセスを受けました。これにより、本来守られるべき大量のメールデータやアカウント情報が流出した可能性があります。私たちが普段利用しているクラウドサービスの裏側で、どのようなリスクが潜んでいるのかを理解する良い機会となりますので、詳しく見ていきましょう。

今回のインシデントは、ある通信事業者が法人向けに提供しているメールソリューションサービスで発生しました。攻撃の起点となったのは、システムを構成するCisco製のネットワーク機器にあった脆弱性です。これを悪用されたことで、スパムメールを隔離するサーバーや、利用者のアカウント情報を管理するLDAPサーバー、さらにはシステムログを保管するサーバーに至るまで、広範囲に不正アクセスの痕跡が確認されました。単なる一箇所の不備ではなく、システム全体の『信頼の連鎖』が断ち切られてしまった非常に深刻な事態です。結果として、メールのヘッダ情報や暗号化されたパスワードなど、機微な情報が外部へ漏えいした可能性が高まっており、現在はアクセス制限と調査が進められています。

Ciscoというのは世界的なネットワーク機器メーカーですが、そうした信頼あるメーカーの機器であっても、プログラムの設計ミスや不具合といった「脆弱性」、つまりセキュリティ上の欠陥が見つかることがあります。今回はその欠陥が修正される前に、あるいは修正パッチを適用する隙を突かれて攻撃者が侵入したと考えられます。家の鍵穴に欠陥があり、特定の道具を使えば誰でも開けられてしまう状態だったとイメージすると分かりやすいでしょう。

非常に大きな問題です。隔離されたメールの中には、実は業務に必要な重要なメールが誤って「スパム」と判定されて混ざっている可能性があります。また、スパムメールそのものに価値はなくとも、誰がどんなメールを受け取っているかという「ヘッダ情報」や、企業がどのようなメールアドレスをブラックリストやホワイトリストに登録しているかという設定情報は、攻撃者にとって次の攻撃を仕掛けるための貴重な手がかりになってしまうのです。

決して安心はできません。暗号化されていれば直ちに悪用されるわけではありませんが、攻撃者が高度な技術や計算能力を使って暗号を解読する「総当たり攻撃」などを仕掛けてくる可能性があります。もし解読されれば、正規の利用者になりすましてメールシステムにログインされ、さらなる情報の窃取や、取引先への偽メール送信といった被害に拡大する恐れがあるため、早急なパスワード変更が必要です。

そこが難しいところです。記事によると、対象機器の脆弱性が改善されていないため、管理画面へのアクセスを停止するという措置をとっています。これは、メーカーから修正プログラムが提供されていても適用に時間がかかる場合や、あるいは回避策の検証に時間を要している可能性があります。サービスを止めずに修正を行うのは技術的に困難な場合も多く、今回は被害拡大を防ぐために、一部機能を停止するという苦渋の決断をしたと言えます。

クラウドサービスを利用する以上、基盤側の事故を完全に防ぐことは利用者にはできません。しかし、万が一に備えて、パスワードを複雑なものにして使い回さないことや、サービス側から「不正アクセスの可能性」という通知が来た際には、速やかにパスワードを変更し、不審なログイン履歴がないかを確認する癖をつけることが重要です。また、重要な情報はメールだけに頼らず、複数の手段で管理することもリスク分散になります。