piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

ホンダの内部ネットワーク情報を格納したElasticsearchが公開されていた件についてまとめてみた

2019年7月31日、本田技研工業の従業員のメールアドレスや内部ネットワーク、PCに関連するElasticsearchデータベースが露出していたとして、対応の顛末が発見者により公開されました。この問題は本田のセキュリティチームに伝えられ、問題は解消されているとのことです。ここでは関連する情報をまとめます。

問題の発見者 Justin氏の報告

  • Justin氏はクラウドフレア社 Trust & Safety担当のディレクター。

何が問題であったか

  • 本田技研工業の従業員の名前やメールアドレス、連絡先の情報、同社内部の端末やネットワーク等の情報が格納されたElasticsearchデータベースが認証なく外部から参照可能であった。
  • データベースには合計すると約1億3400万件のデータ(約40GB相当)が格納されていた。
  • 特定のデータベースから本田技研工業のウィークポイントを探ることが可能であった。

本田技研工業の説明・対応

  • Justin氏からの連絡を受け、10時間後には保護対応を完了した。
  • アクセスログの調査から第三者への情報流出などの兆候は確認されなかったとし、今後も適切な行動を通じ、同様の問題を防止するための予防的対策に取り組むと説明。
  • Justin氏への回答では問題の原因は言及されていない。

公開されていたデータベース

次のインデックスを含むElasticsearchデータベースが公開されていた。

index名 データ件数(サイズ) 含まれる情報
ad_com_all 45,614,074件(12.3GB) 従業員名、ホスト名、OS種類、OSバージョン等
ad_user_all 36,036,203件(15.3GB) 従業員メールアドレス、従業員名、部署名、電話番号、前回ログイン日時、従業員番号、アカウント名等
非公開 12,483,709件 (5GB) 詳細不明
非公開 12,472,491件 (949.6MB) 詳細不明
dg 5,568,491件 (386.4MB) 詳細不明
dhcp 5,240,130件 (730.4MB) 端末管理タグ、MACアドレス、管理担当者名等
nwcomterminal 4,644,327件 (2.2GB) 端末のIPアドレス、MACアドレス、ホスト名、適用済みWindows更新プログラム等
sep 4,125,008件 (219MB) 詳細不明*1
comterminal 3,625,545件 (2.5GB) 従業員メールアドレス、部署名、端末IPアドレス、MACアドレス、ホスト名、OS種類、端末のセキュリティ状態、適用済みWindows更新プログラム等
uncontrolledmachine 425,056件 (32.3MB) 端末のセキュリティソフトで監視対象外とみられるホスト名、OS、ユーザー名等
test1 177,397件 (57.3MB) 詳細不明
printer 158,217件 (14MB) プリンタ名、IPアドレス、設置場所等

(Justin氏のスクリーンショットより)

  • 格納されたデータはおよそ3か月半(2019年3月13日)までさかのぼる事が出来た。
  • 3月13日に大量の追加(約64.7万件)が行われており、初期投入日ではないかとみられる。
  • ad_user_allに含まれるデータの約3割近くが日本国内のオフィスとみられるデータ。
  • ad_user_allから八郷社長とみられる端末情報も確認ができた。
  • DHCPのコメントやprinterの一部項目名に日本語が用いられていた。
  • Shodan上では2019年7月1日時点でKibanaがPublicな状態である記録が残されていた。

更新履歴

  • 2019年8月1日 AM 新規作成
  • 2019年8月1日 AM 一部表記を修正
  • 2019年8月2日 AM ElasticSearchをElasticsearchに修正。

*1:セキュリティソフトウェアのindexだろうか?