【重要】当社サーバへの不正アクセスによる一部データ流出の可能性に関する 詳細調査のご報告(最終報)
株式会社ベーシック 代表取締役 秋山 勝
2018年12月20日発表の「 不正アクセスによるお客様情報の流出の可能性に関するお知らせとお詫び」について、お客さまおよび提携先企業の皆様、関係者の皆様には多大なるご心配とご迷惑をおかけしましたことを、心よりお詫び申し上げます。
株式会社ベーシックの運営するオールインワンマーケティングツールferret One(フェレットワン)で利用している当社サーバへ2018年9月17日から12月6日にかけて不正アクセスおよびお客様情報流出の可能性があることが判明したため、本件を公表し、発生の原因について、詳細な調査を進めてまいりました。
第三者機関によるフォレンジック調査*1 および社内調査の結果、当社で管理するお客様情報のファイルが流出した痕跡は確認されませんでした。このたびの経緯ならびに第三者機関による調査の結果、再発防止策等について下記の通りご報告いたします。記
1. 本件の概要ならびに調査概要、経緯
2018年12月6日、当社で利用しているクラウドサービス(AWS*2)において、不正アクセスの形跡を確認し調査した結果、不正アクセスを受けていたことが判明しました。その後、社内にて調査を進めた結果、2018年9月26日午前1時26分に同クラウドサービスへの不正アクセスがあり、同サーバには「ferret One」のお客様情報のバックアップデータ等が格納されたファイルが存在し、攻撃者がアクセス可能な状態にありました。そのため、不正アクセスの経路を遮断するとともに、セキュリティ強化などの緊急対策を講じ、原因究明のため2018年12月12日より第三者機関によるフォレンジック調査および社内調査を進めてきました。
<本件調査の概要>
| 背景 |
2018年12月6日に、当社が利用しているAWSサーバの高額な課金を検知。当該現象に係る調査を実施し、社外からの不正アクセスの可能性を認識。不正アクセスに係る詳細な社内調査を実施。以下の事象を確認しました。 |
|
①2018年12月6日、当社従業員が利用していたAWSアクセスキーが不正利用され、仮想サーバEC2 *3インスタンスが不正に作成され起動されたこと。 ②不正に作成および起動されたEC2インスタンスは、仮想通貨の一つであるEthereumを採掘するためのシステムを動作させるためのものであると思われること。 ③不正アクセスは海外のいくつかのIPアドレスから行われていること ④不正に作成起動されたEC2インスタンスに係る費用は、$1166.55であること ⑤情報流出の事実(ログや痕跡)は確認できていないものの、不正利用されたAWSアクセスキーを使用して、個人情報へアクセスすることは技術的に可能な状態であったこと |
|
| 目的 |
上記の社内調査では明らかにならなかった以下の事項を確認することを目的として、第三者機関によるフォレンジック調査ならびに社内調査を実施。
① 不正利用されたAWSアクセスキーが流出した経路を特定すること ② 当該不正アクセスによる被害範囲を特定すること |
2. 不正アクセスにおける対応経緯
| 日時 | 概要 |
| 2018年 12月 6日 10:39 | クラウドサービス内に不正なサーバの構築を確認。対象サーバを停止し、不正アクセスの可能性調査を開始 |
| 2018年 12月 6日 11:03 | 不正アクセスの原因となった認証キーを特定し、無効化 |
| 2018年 12月 6日 11:03 | 認証キーの再作成を実施 |
| 2018年 12月 6日 11:27 | 流出した認証キーが個人情報を含むファイルにアクセス可能な権限であることを確認、他に被害がないか調査開始 |
|
2018年 12月 7日 15:30 |
警視庁へ連絡第三者機関の手配を開始 |
| 2018年 12月 10日 20:00 | IPA 不正アクセスについての届け出提出 |
| 2018年 12月 12日 11:10 | 個人情報保護委員会へ報告 |
| 2018年 12月 12日 13:00 | 第三者機関によるフォレンジック調査開始 |
| 2019年 1月 17日 16:00 | 第三者機関によるフォレンジック調査終了ならびに報告書の受領。 |
| 2019年 1月 24日 14:00 | 最終報告書を公開 |
3. 調査結果
第三者機関によるフォレンジック調査ならびに社内調査の結果、AWSアクセスキーの流出原因については特定されませんでした。尚、当社で管理するお客様情報のファイルが流出した痕跡は確認されませんでした。お客様より、不正アクセスによるお客様情報を利用された可能性や被害報告なども現在まで頂いておりません。
| 調査目的 | 調査項目 | 調査結果 |
| AWSアクセスキー流出原因の特定 | アクセスキーを知り得た当社従業員のPC27台におけるマルウェア感染痕跡有無 | マルウェア感染の痕跡は認められず |
| 社内チャットツールSlack*4ログにおいて不正利用されたAWSアクセスキーのメンバー内共有範囲の特定 | 当社従業員27名に対してSlackにて共有が行われていたことを確認。 | |
| 不正アクセス被害範囲の特定 | 不正利用されたAWSアクセスキー以外の当社が保有するAWSアクセスキーの不正利用の有無 | 不正利用の痕跡は認められず |
| 不正アクセス元の特定 | 不正アクセスのアクセス元分析 | アメリカ、チュニジアなどのIPアドレスからの不正アクセスのログを確認 |
| お客様情報流出有無の特定 | 不正アクセスを受けたサーバ(ECサーバ、S3*5 )内データダウンロード履歴の有無 | 情報流出の痕跡は確認されず |
4. 再発防止策
第一報のお知らせ後、以下の対策を実施いたしました。
| 事象の再発を防ぐための対策 | AWS へのアクセスは指定 IP アドレスからの接続に限定 |
| AWS アクセスキーの権限を必要最低限に限定 | |
| 不要なアカウントの棚卸しと削除 | |
| お客様情報のバックアップデータをS3 のバケット単位で分離(実施中) | |
| バックアップデータそのものをAWSの暗号化サービスKMS*6を用いて暗号化(実施中) | |
| 二段階認証の導入 | |
| アクセス制御のポリシーの見直し | |
| 情報セキュリティマネジメントの徹底 | |
| 事象発生を早期に検知するための対策 | AWS アクセスキーの利用ログを詳細に監視 |
このような事態を招いたことを重く受け止め、今後、このような事態が発生しないよう厳格なサービス運用ならびにセキュリティ強化、従業員教育の徹底を図り、再発防止に努めてまいります。
*1 フォレンジック調査:サーバのログファイルから不正アクセスの記録を見つけ出すことで、情報流出の有無や範囲を判断する調査。
*2 AWS:Amazon Web Serviceの略。Amazonが提供するクラウドサービスの総称。クラウドコンピューティングを利用したデータベース・サーバやストレージなどのサービスを提供。
*3 EC2:EC2は「Elastic Compute Cloud」の略。AWS上に仮想サーバを作るサービス。
*4 Slack:Slack社が提供するビジネスチャットアプリ。
*5 S3:「Simple Storage Service」の略。AWSにおけるオンラインで使えるストレージのこと。
*6 KMS:Key Management Serviceの略。AWSが提供するデータの暗号化に必要な暗号化キーの作成と管理を容易にするマネージド型サービス。
【備考】
-「不正アクセスによるお客様情報の流出の可能性に関するお知らせとお詫び」
https://ferret-one.com/notice/20181220ferret とは
登録番号 IA180169 適用規格 ISO/IEC 27001:2013 / JIS Q 27001:2014
© Basic Inc. All Rights Reserved.
Powered by ferret One