piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

富士通のプロジェクト情報共有ツール「ProjectWEB」への不正アクセスについてまとめてみた

2021年5月25日、富士通はプロジェクト情報共有ツール「ProjectWEB」を利用する一部のプロジェクトに対し不正アクセスがあり、ツール内で保管された情報が窃取されたことを発表しました。ここでは関連する情報をまとめます。

情報流出確認されシステム運用停止

pr.fujitsu.com

  • 不正アクセスが確認されたProjetWEBは社内外の関係者(同社グループ会社、顧客、業務委託先等)とインターネット上で情報共有するサービス。ライブラリ、予定表、Todo管理、ドキュメント管理等の機能で構成される。富士通のデータセンターで稼働。利用実績は公表されていないが、数千プロジェクトで利用と報じられている。(平成21年時点で3000か所で利用)*1
  • 富士通が不正アクセスとみられる痕跡を確認したのは5月6日。調査の結果、流出事実が確認されたことから25日にシステム運用を停止している。富士通社内への不正アクセスは確認されていない。*2 復旧見通しは不明で事業活動、顧客への大きな影響が生じない対応を進めているとしている。*3
  • 流出した情報、件数等25日時点ではまだ調査中の状況。(警視庁へは被害相談済) 窃取された情報の悪用は確認されていない。詳細については取引先情報も含まれることから回答を控えるとしている。*4
  • 不正アクセスの影響は複数企業に及んだと報じられている*5が、5月25日時点で同事案に係る発表を行っていたのは成田国際空港のみだった。その後26日から官公庁より被害公表が行われている。またProjectWEBへ行われた不正アクセスに関する具体的な手口は関係者へ管理者アカウントが侵害された可能性があると富士通が報告したことが報じられるも、同社からは公表されていない。
f:id:piyokango:20210526051851p:plain
ProjectWEBのログインページ

被害事例① 運航情報管理システムの関連資料がダウンロードされる

www.naa.jp

  • ProjectWEB上には富士通が開発した運航情報管理システム(NARCⅣ)に関係するシステム運用や保守の情報が含まれており*6、17日までにダウンロードされた形跡が確認されたことから富士通より外部流出の可能性が高いと報告を受けていた。*7 当該システムでは駐機場の利用実績や予定を管理している。*8
  • 運航情報管理システム自体はインターネットから直接接続は出来ず、これまでに不正アクセスとみられる形跡も確認されていない。航空機の運航など安全上への影響もないとNAAは説明。*9 また事案発生を受け、NAAは関係システムの緊急点検を行った他、アクセス制限、監視の強化を行っている。
  • 不正アクセスが判明したのは6日、NAAの発表は20日に行われており、富士通の発表が遅れた理由に対し、「案件の特殊性や顧客への影響を踏まえ、公表内容やタイミングを検討した結果だ」「事実確認や顧客企業とやりとりし、しかるべき対応を取った後に公表した」と取材に回答している。*10 NAAは17日に富士通から報告を受けた際、他の企業、機関でもあるとの話があったと明らかにしている。*11

被害事例② 官公庁で不正アクセス公表続々

以下組織でProjectWEBへの不正アクセスによる情報流出被害の公表が行われている。

  • 内閣官房内閣サイバーセキュリティセンター(2021年5月26日公表)
  • 国土交通省(2021年5月26日公表)
  • 外務省(2021年5月26日公表)
内閣官房内閣サイバーセキュリティセンター

[PDF] 富士通株式会社が管理・運営するプロジェクト情報共有ツールへの不正アクセスによる情報の流出について
[PDF] 富士通株式会社が管理・運営するプロジェクト情報共有ツールへの不正アクセスによる情報の流出について(第2報)

  • 不正アクセスによりNISC内情報システムに関する情報が外部流出したとの報告を富士通より受領。
  • 原因、影響範囲は現時点で調査中だが、システム構成に係る機器類などの情報が含まれる。
  • 影響を受ける機器類に対する被害拡大防止措置は既に行っている。
  • その後詳細な情報提出を求めたところ、流出情報にNISC主催のサイバーセキュリティに関する情報共有訓練参加組織の情報が含まれていたことが判明した。
  • 参加組織情報は組織名、参加者役職、氏名の一部が対象。
国土交通省

富士通株式会社が管理・運営するプロジェクト情報共有ツールへの不正アクセスによる国土交通省関係情報の流出について

  • 不正アクセスにより、国交省内のシステム関係情報が外部流出したとの報告を富士通より受領。富士通はシステム関係の業務委託先。
  • 影響を受けた機器類等の省内のシステムへは不正アクセスは確認されていない。(省内システムの障害、業務支障は5月26日時点で確認されていない。)
  • 職員、国交省メーリングリストに登録された外部関係者のメールアドレスの流出が少なくとも7.6万件が確認されており、個別に連絡を行う予定。*12
外務省

富士通株式会社が管理・運営するプロジェクト情報共有ツールへの不正アクセスによる情報の流出について

  • 不正アクセスにより外務省提供資料を含む情報が外部に流出したとの報告を富士通より受領。
  • 外務省推進のデジタルガバメント実現に向けた検討資料が流出したことが確認されている。同資料は今後に向けた検討資料であって、外務省内のシステム、業務への影響は確認されていない。
  • 省外の関係者63名の氏名、所属組織が記述されていた。
経済産業省
  • ProjectWEBの不正アクセスによる影響対象に経済産業省が含まれていたと報じられている。*13
  • 省内情報が流出したものではなく、経済産業省の公表した情報を富士通側が入手していたものであり、影響無しとの判断。

NISCが政府機関、重要インフラ事業者へ注意喚起

[PDF] プロジェクト情報共有ツールに対する不正アクセス対策の確認に関する政府機関等及び重要インフラ事業者等への注意喚起の発出について

  • ProjectWEBに係る事案発生を受け、5月24日に内閣官房内閣サイバーセキュリティセンターが政府、重要インフラ事業者等へ注意喚起を行っている。これは同ツールを中央省庁等の行政機関、重要インフラ事業者で多く採用されているため。*14
  • NISCでは同種ツールの利用確認とツール上へ保管された情報資産の外部流出の懸念に対する対応を推奨している。
  • 推奨される対応として、不正アクセスへの対策、情報漏洩を念頭に置いた対策、関係機関等への報告の3つを挙げている。
  • NISCに対しては26日時点でNAA以外から重要インフラ事業者へ被害報告は寄せられていない。*15

総務省が自治体へ注意喚起

  • 2021年5月27日付で全国の自治体に対し、情報共有ツールの利用状況を確認し、問題の発生がないことを確認する通知を発出。*16
  • 5月28日の総務大臣の記者会見では総務省、自治体の情報流出に係る報告はないと述べている。

自社がProjectWEBを使っているか調べるには

  • NAAの様に影響を受けた組織には富士通から報告が行われているが、全組織に対して報告が完了したのかは不明。組織内利用当事者からの報告が第一だが、事案発生に気づけていない恐れがある。
  • piyokangoが確認したところ、soln.jpドメイン上でProjectWEBに係るサービスが稼働していた。当該ドメインへのアクセスが自社から行われているか確認することでProjectWEBを利用しているかの調査は可能とみられる。

関連タイムライン

日時 出来事
2021年5月6日 富士通がProjectWEBに対する不正アクセスの形跡を確認。
2021年5月14日 富士通が国土交通省へ不正アクセスによる情報流出を報告。
2021年5月17日 富士通が成田国際空港へ不正アクセスによる情報流出を報告。
2021年5月20日 成田国際空港が運航情報管理システムの情報流出を公表。
2021年5月24日 NISCが政府、重要インフラ事業者向けに注意喚起を発出。
2021年5月25日 富士通がProjectWEBのシステム運用を停止。
同日 富士通がProjectWEBへの不正アクセスを公表。
2021年5月27日 総務省が全国の自治体に対して問題調査を行うよう通知。

更新履歴

  • 2021年5月26日 AM 新規作成
  • 2021年5月27日 AM 続報反映(官公庁系被害、ProjectWEB利用確認方法)
  • 2021年5月28日 PM 続報反映(経済産業省)
  • 2021年6月3日 PM 続報反映(NISC第二報)

*1:富士通の情報共有ソフト不正アクセス 国交省などでも情報漏洩,NHK,2021年5月26日

*2:富士通の「ProjectWEB」に不正アクセス、顧客情報が窃取被害,日経クロステック,2021年5月25日

*3:社内外で利用する「プロジェクト情報共有ツール」に不正アクセス - 富士通,Security NEXT,2021年5月25日

*4:富士通に不正アクセス 顧客情報盗まれる,毎日新聞,2021年5月26日

*5:富士通、情報共有ツールに不正アクセス 顧客情報が流出,日本経済新聞,2021年5月25日

*6:成田空港駐機場管理システムの関連情報、富士通管理の情報共有ツールから流出か,日経クロステック,2021年5月21日

*7:成田空港、情報共有ツールに不正アクセス システム資料流出か,Aviation Wire,2021年5月20日

*8:不正アクセスで管理情報流出か 成田空港 /千葉,毎日新聞,2021年5月22日

*9:成田空港のシステム情報共有ソフトに不正アクセス 情報流出か,NHK,2021年5月21日

*10:富士通、顧客企業の情報流出 システムに不正アクセス,時事通信,2021年5月25日

*11:成田空港社長:不正アクセス、「他の企業、機関も」と連絡受ける=富士通から,時事通信,2021年5月27日

*12:内閣セキュリティセンターの情報も漏洩 富士通製,日本経済新聞,2021年5月26日

*13:富士通ツールへの不正アクセス、管理者権限を乗っ取りか,朝日新聞,2021年5月27日

*14:成田空港 運航管理情報システムへの不正アクセス受け注意喚起,NHK,2021年5月26日

*15:NISC、「ProjectWEB」の不正アクセスで政府機関や重要インフラ事業者に注意喚起,Security NEXT,2021年5月26日

*16:情報共有ツールの確認を 不正アクセスで総務省通知,産経新聞,2021年5月28日