スパコンシステムへの不正アクセスをまとめてみた。

京都大学、筑波大学、高エネルギー加速器研究機構のスーパーコンピューターシステムが不正アクセスを受けたと報じられました。当該インシデントの発表そのものは2013年11月中旬に行われており、その時は見ている限りでは報道がなかったようですが、何故か発表から1ヶ月経った2013年12月18日に一斉にメディア各社が取り上げました。発表時点では不正アクセスの内容や原因といった詳細については公となっていなかったのですが、報道を通じていくらか明らかになった内容もあるためここでまとめます。
尚、スパコンシステムのスーパーコンピューター本体は不正アクセス被害を受けてはいないと各組織が発表しています。また京都大学・筑波大学の件と高エネルギー加速器研究機構の件は不正アクセスのタイミングや狙われた対象が似ていますが、関連性を示す情報は報道、発表では明らかになっていません。

スーパーコンピューターに関連する情報

まずは各組織のスーパーコンピューターに関連する情報をまとめました。

京都大学基礎物理学研究所

システム名：不明
主な利用用途：素粒子物理学、宇宙物理学等の研究利用
利用研究者数：約600人
ログイン方法：不明
ログイン先：不明
関連サイト：不明
設置時期：2011年1月4日〜
インターネットからの接続：報道情報から可能と思われる

筑波大学計算科学研究センター

システム名：T2K-Tsukuba
主な利用用途：素粒子物理学、宇宙物理学、気象学、生命科学等の研究利用
利用研究者数：約200人
設置時期：2008年6月1日
ログイン方法：SSH 公開鍵認証
ログイン先：t2k.ccs.tsukuba.ac.jp
関連サイト：T2K-Tsukuba一般利用,T2Kオープンスパコン
インターネットからの接続：可能

高エネルギー加速器研究機構計算科学センター

システム名：KEK スーパーコンピューターシステム（システムA、システムB）
主な利用用途：素粒子物理学、宇宙物理学等の研究利用
利用研究者数：約50人
設置時期：システムA 2012年3月1日〜、システムB 2012年4月1日〜
ログイン方法：不明
ログイン先：不明
関連サイト：KEKスーパーコンピューターシステム
インターネットからの接続：海外向けにも共同利用公募を行っており、可能と思われる

不正アクセスに関連する発表情報

3つの組織が発表した情報は以下の通りです。どのシステムもログインノードと呼ばれるアカウント管理サーバーが不正アクセスを受けたものの、その先のスパコン本体が被害を受けた形跡は確認されなかったと発表しています。

京都大学基礎物理学研究所

被害状況
- スパコン本体への不正アクセスは行われていない
不正アクセスを受けての対策
- システムのセキュリティ設定強化
- ユーザーによる認証方法の変更
- サーバークリーンインストールを実施したのかは不明

筑波大学計算科学研究センター

被害状況
- スパコン本体への不正アクセスは行われていない
- 管理ログ(2013年10月22日〜10月24日分)が消去された
- 全ユーザの暗号化されたssh公開鍵認証情報が取得された可能性がある
不正アクセスを受けての対策
- 公開鍵を全て更新
- ユーザに対してセキュリティレベル向上について具体的な指導
- ログインサーバのOSを最新のLinuxに変更

高エネルギー加速器研究機構

被害状況
- スパコン本体への不正アクセスは行われていない
- 2人の研究者になりすまして不正アクセスが行われた
不正アクセスを受けての対策
- システムのセキュリティ設定強化
- ユーザーによる認証情報管理強化

インシデントタイムライン

インシデントを時系列に整理します。

2013年10月22日
- 京都大学が不審なスパコン利用記録を確認。
2013年10月22日〜24日
- 当該機関における筑波大学のスパコンの管理ログが消去された。
2013年10月31日
- 京都大学から筑波大学から不正アクセスについて連絡。
2013年11月3日
- 筑波大学が不正アクセスを受け、スパコンシステムを停止。
2013年11月5日
- 筑波大学、京都大学から文部科学省情報化推進室へ不正アクセスを報告。
2013年11月14日
- 京都大学が不正アクセスを受けたことを発表。
- 筑波大学が不正アクセスを受けたことを発表。
- 高エネルギー加速器研究機構が不正アクセスを受けたことを発表。
2013年11月26日
- 筑波大学がスパコンシステムを再開。
2013年11月29日
- 筑波大学がスパコンシステムの再開、及び対策について発表。
2013年12月9日
- 高エネルギー加速器研究機構がスパコンシステムを再開。
2013年12月10日
- 高エネルギー加速器研究機構が不正アクセスの調査結果を発表。
2013年12月13日
- 京都大学がスパコンシステムを再開。
2013年12月16日
- 京都大学がスパコンシステムの再開について発表。

スパコンシステムへの不正アクセスで気になる点

個人的に気になった点は以下の2点です。

(1) SSH公開鍵認証を行っているサーバーが不正アクセスを受けた

公開サーバーがこの手の不正アクセスを受ける原因の1つとして、強度の低いパスワードが使われていることがありますが、今回不正アクセスを受けたサーバーは公開鍵認証方式が行われていたようです。システムの管理ログが削除されていることからも推測できますが、悪用されたのは管理者権限を持つアカウントとのことです。「認証情報が盗まれた」と報じているメディアもありますが、NHKでは「システムで使われていたソフトウェアの欠陥が狙われた」と報じており、さらに筑波大学は続報で「ログインサーバのOSを最新のLinuxに変更」と発表しているため、何らかの既知の脆弱性が突かれた可能性があります。またNHKは筑波大学だけでなく、京都大学も同じ欠陥が狙われたと報じています。

(2) スパコンシステムを踏み台として別のスパコンシステムへ不正アクセスが行われた

京都大学が不審な利用記録に気づいたことが発端となりますが、筑波大学から不正アクセスを受けた形跡を確認したためだったようです。NHKはいずれもインターネットから不正アクセスを受けたと報じていることから、公開サーバーが被害を受けたと考えられますが、何故直接ではなく、筑波大学を踏み台にしてアクセスしたのか、その理由について触れている記事はありませんでした。蛇足ですが、高エネルギー加速器研究機構が気付いたキッカケは11月5日に文科省が2大学から報告を受け、スパコンを管理する各組織に注意喚起をしたのではないかと思われます。