コラム

 公開日: 2015-02-09  最終更新日: 2015-03-14

ネットワーク接続機器のセキュリティ-首都大学東京の事件から

先日、首都大学東京で大量のスパムメール送信事件が発生しました。これはネットワーク接続されたディスク装置、いわゆるNAS(Network Attached Storage)のセキュリティ対策が不十分であったことが原因です。
報道等ではNAS 内の個人情報データが漏えいしたのかどうかが注目されていますが、この事件の問題は、不正アクセスによって踏み台にされることで、自分の会社や組織が加害者と見なされる危険性があることだと思います。
皆さんの職場にも、パソコン以外に社内ネットワークに接続された機器があると思います。パソコンやサーバでは、ウィルス対策やアクセス対策が行われていることがほとんどですが、その他の機器については十分にセキュリティ対策が行われていないケースが散見されます。今回はネットワークに直接接続された機器のセキュリティについて確認します。

首都大学東京の事件概要

冒頭に述べた首都大学東京の事件について、プレスリリースに基づき、経緯をまとめると、以下の通りです。
首都大学東京の事件経緯

また、事件を起こしたNASですが、セキュリティ設定について、以下のような状態であったことが公表されています。
首都大学東京設置NASのセキュリティ状況

首都大学東京のNASに関する問題点

上記の経緯等から推測すると、首都大学東京に設置されたNASに関して、幾つかのセキュリティ上の問題点が浮かび上がってきます。

1.購入時設定のまま接続
プレスリリース上明記はされていませんが、管理部教務課のNASは恐らく昨年8月22日に新規購入し、そのままネットワークに接続して使用を開始したと考えられます。その際にNAS自体のセキュリティ設定の考慮が足りなかったと考えられます。NAS製品の中には、接続してそのまま使えることをセールスポイントにしている製品もありますが、初期設定の内容が必ずしもセキュリティ上妥当であるとは限りません。社会福祉学教室のNASもスパムメール送付時点でFTP共有は無効にされていましたが、それ以外の項目は十分な対応がされたとは考えにくいです。特に、管理者パスワードが初期値から変更されていないことも問題です。

2.設定変更の際の調査や対応が十分でない
今年の年明けに外部からの情報提供に基づき、外部からアクセス可能なNASがあり、設定変更を行いました。情報提供のメールから対応までの期間が空いたことは、正月休みを挟んでいたため致し方ないところもありますが、その後の対応が十分でなかったと考えられます。つまり、「外部から学内の情報が見える」という事実を解消するための対応は、FTPの設定変更という形で行われましたが、その他の設定についてはほとんど確認していなかったと考えられます(確認した上で、管理者パスワードがそのままというのは、もっと危ないですが)。問題のNASには約5万件の個人情報が格納されていたことから、そちらの対応が中心になっていたようです。
次に発生した迷惑メール送信が外部の者なのか、学内のアクセス可能な者の仕業なのか、現時点では明確ではありませんが、約4か月も外部にさらされ、かつ管理者パスワードが初期値であれば、外部の者であれ内部の者であれ、容易に不正アクセスされ、学内のネットワーク情報が収集、解析され、都合のいいように設定変更されている可能性を疑うべきだと思います。事件の対象となるNASは異なりますが、双方の事件が関連する可能性は高いと考えられます。1月5日の時点で学内のNASすべてに対してセキュリティ対策を施していれば、スパムメール送信については避けられた可能性があります。

3.アクセス状況のモニタリングが十分でない
これも繰り返しになりますが、ネットワークのアクセス状況のモニタリングが不十分だったと言わざるを得ないと考えられます。スパムメールの送信については管理者IDが悪用され、メール送信が行われたと思われます。これは思い立ってすぐできるものではなく、メール送信リストの送付やメール送信設定等、様々な事前準備作業が必要となります。日常使用されるとは考えにくい管理者IDによるログインの状況やFTPの通信状況が認識できれば、少なくともスパムメール送信は避けられたと考えます。
また、全体的な状況を見ると、首都大学東京内部のITガバナンスの状態はどうだったのか、疑問に思います。NASの設置状況やトラブルの対応状況を見ると、統制が十分でない印象を受けます。

あなた方の会社も加害者になる可能性があります

以上、首都大学東京の状況を確認しましたが、同様の状況は他の会社や組織でも発生する可能性が高いと考えられます。首都大学東京で個人情報が漏えいした等の被害は確認されておらず、誰かの手で大量の迷惑メールが送信されたということで被害者の意識があると思われますが、世間的には管理不十分ということで、加害者に近い見方をされる危険性があります。
営業秘密や顧客情報といった、企業の保有する固有情報を守るのはもちろんですが、同様に自社の機器を踏み台にされることによる迷惑メール送信やフィッシングサイトへの誘導、或いはDDoS攻撃の発信元になることも防止していかなければいけません。送信元アドレスが誰もが知る企業や組織であれば、一見して迷惑メールの件名や内容でも、そのメールを開封してしまい、フィッシングサイトに誘導されたり、ウィルス感染したりする可能性があります。トレンドマイクロ社の調査によると、NASでウィルス対策を行っている企業は約35%、脆弱性対策を行っている企業は約20%に過ぎません。(参照:トレンドマイクロ社「企業向けNAS選びのポイントはセキュリティにあり」)
また、前提として、企業ネットワークに接続される機器については、情報システム部門できちんと把握し、セキュリティ上の対策を行うことも必要です。自社で使用する機器の状況について、定期的に棚卸を行い、セキュリティ上の問題がないか確認するよう、ルールを決めて運用することが必要だと考えます。

上記内容に関連して、ご相談や質問などがございましたら、お気軽にご連絡ください。
なお、弊社の関連するサービスの紹介はこちらです。併せてご確認ください。

お問い合わせフォームは、こちらです。

この記事を書いたプロ

デルタエッジコンサルタント株式会社 [ホームページ]

経営コンサルタント 金子清隆

東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL:03-6869-8336

  • 問い合わせ

このコラムを読んでよかったと思ったら、クリックしてください。

「よかった」ボタンをクリックして、あなたがいいと思ったコラムを評価しましょう。

2

こちらの関連するコラムもお読みください。

<< 前のコラム 次のコラム >>
最近投稿されたコラムを読む
サービスメニュー

日常業務の中で、あるいは報道や世間の動向を見ている中で、以下のように感じたことはないでしょうか。・「現状にどこか満足できない」、「どこかに課題がありそう...

お知らせ

大きな被害が発生した熊本地震の被災地では、まだ余震の続く中で復興作業が行われています。このような大地震発生等の事象に備えて、多くの企業では防災対策や業務継...

 
このプロの紹介記事
金子清隆・ITコンサルティング・デルタエッジコンサルタント株式会社

ITを中小企業のビジネスに有効活用するには?ITの運用方法やコストでお悩みの方に(1/3)

 2013年9月にデルタエッジコンサルタント株式会社を立ち上げた金子清隆さん。中小企業の業務改善をサポートするコンサルティングをベースに、特にITの最適化を通して顧客のビジネスを陰から支えています。 「ITとビジネスとの関係は年々密接に...

金子清隆プロに相談してみよう!

朝日新聞 マイベストプロ

中小企業の実情を踏まえた、最適コストによるIT活用をご提案

会社名 : デルタエッジコンサルタント株式会社
住所 : 東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL : 03-6869-8336

プロへのお問い合わせ

マイベストプロを見たと言うとスムーズです

03-6869-8336

勧誘を目的とした営業行為の上記電話番号によるお問合せはお断りしております。

金子清隆(かねこきよたか)

デルタエッジコンサルタント株式会社

アクセスマップ

このプロにメールで問い合わせる
プロのおすすめコラム
パスワードの再確認~女性芸能人のデータ盗み見事件に関連して
イメージ

先日、複数の女性芸能人のメールサービスやデータ保存サービスなどに不正に接続し、保存されたメールや写真データ...

[ セキュリティ ]

マイナンバー制度と年末調整等

今年も残すところ2ヶ月という時期となりました。給与計算関連の業務担当者にとっては、年末調整、及び法定調書等...

[ マイナンバー制度 ]

水害に対応するための簡易的なBCP策定のすすめ

ここ数年、日本各地で台風や集中豪雨による水害の発生や被害が増えています。もし、皆さんの会社や施設が水害に遭...

[ BCP・防災 ]

2016年上半期のネットバンキング不正送金被害状況
イメージ

先日、警察庁から今年上半期(2016年1月~6月)に発生したインターネットバンキング利用者の預貯金を狙った不正送...

[ セキュリティ ]

メールマガジンなどの不要なメールを安易に「配信停止」していませんか?

毎日の様に送信されてくる、勧誘や告知、広告などを目的としたメールマガジンや迷惑メールにうんざりしている方も...

[ セキュリティ ]

コラム一覧を見る

スマホで見る

モバイルQRコード このプロの紹介ページはスマートフォンでもご覧いただけます。 バーコード読み取り機能で、左の二次元バーコードを読み取ってください。

ページの先頭へ