2021年4月22日、内閣府は外部とのファイルのやり取りで職員が利用するファイル共有サーバー(FileZen)が外部から不正アクセスを受けたと発表を行いました。ここでは関連する情報をまとめます。
内閣府の外部とのファイル共有に不正アクセス
内閣府職員等が利用する「ファイル共有ストレージ」に対する不正アクセスについて
- 不正アクセスを受けたのは内閣府、内閣官房、個人情報保護委員会、復興庁の4組織の職員等が利用する内閣府LAN内に設置されたサーバー。
- サーバーは外部とのファイル共有用途で設置されたソリトンシステムズの「FileZen」
- 内閣府はメール送信先誤りや記録媒体紛失の発生時に情報流出を防止する目的で利用していた。
イベント参加者情報流出の可能性
- 流出の可能性があるのはサーバー上に保管されていた231名分の氏名、所属、連絡先等を含む個人情報。内閣府が関わったイベント申込者等の情報。*1
- 実際にファイルが外部へ流出したかはFileZenのアクセスログが残っていなかったため、内閣府は確認ができておらず可能性の言及となっている。
- 大容量データ(数GBに及ぶ)の断続的な送信、流出範囲の今後の拡大懸念等が報じられたことに対し、内閣府が補足発表を行っており、1回あたりの送信データ量でギガ単位は確認されていないこと、不正アクセス検知後の遮断を行っているために流出拡大はないと見解を公表している。
ログ残っておらず事案発覚
- 内閣府LAN運用委託事業者(富士通)がFileZenの操作ログが残っていないことに気づいたことが発端。ソリトンシステムズの調査により、管理者アカウントを第三者が用いて不正ログインしていることが判明。*2
- 不正アクセスが発覚した2021年1月当時、FileZenには未修正の脆弱性が存在しておりこれを悪用されたことが侵入の原因。サーバー上のファイルを外部から操作することが可能となっていた。遅くとも2020年3月時点で不正アクセスが確認されていたことが報じられている。*3
- サーバー利用時に必要となるアカウント情報(ID、パスワード)を窃取するマルウエアが発見されており、職員のアカウント情報が流出した可能性がある。
- サーバー内のファイルが圧縮されており、外部よりアクセス可能な場所へ保存されていた。圧縮機能はFileZen自体には存在せず、外部から圧縮処理を可能とするソフトウエアが持ち込まれた可能性がある。海外のIPアドレスから外部アクセス可能な場所へ接続した痕跡が確認された。
流出可能性の対象者へ謝罪
内閣府が今回の事案を受け取った対応、再発防止策は以下の通り。
- 流出可能のある対象者 212名に対して経緯、謝罪。(231名の内、電話連絡のつかなかった19名を除く。)
- 事案発覚後、FileZenを直ちに遮断、利用停止。その後再発防止対応を踏まえ再稼働。
- FileZenに対する外部からの不正アクセス監視機能の強化。
- 内閣府LANに新たなファイアウォールの設置。
- 職員へ注意喚起(ファイル共有ストレージへのアップロード、添付ファイルに対する潜在的リスクについて)
FileZenに存在した2つの脆弱性
- 2020年末から2021年3月にかけ注意喚起や修正が行われた脆弱性は2件。いずれも現在は修正済。
- 内閣府のインシデントでは詳細が報じられていないが、修正時期からCVE-2021-20655がその脆弱性だったとみられる。(ただしこの脆弱性の悪用には別の手段で管理者アカウントを入手している必要がある。)
- CVE-2020-5639の影響を受けないバージョンは2019年1月30日にリリースされていたが、ソリトンシステムズは自社で行ったコードチェックで2020年11月に脆弱性の存在を把握した。
CVE | 脆弱性の種類 | 影響概要 | 影響バージョン | CVSS v3(base) | 修正日 | |
---|---|---|---|---|---|---|
1 | CVE-2020-5639 | ディレクトリトラバーサル | 特定ディレクトリに任意のファイルをアップロードされる恐れ | V3.0.0~V4.2.2 | 7.5 | 2019年1月30日 |
2 | CVE-2021-20655 | OSコマンドインジェクション | 管理者アカウントを取得した第三者によってリモートから任意のOSコマンドを実行される恐れ | V3.0.0~V4.2.7 V5.0.0~V5.0.2 |
9.1 | 2021年3月5日 |
- CVE-2020-5639はディレクトリトラバーサルの脆弱性であり、その後の任意コマンドが実行される可能性についてはこれだけで攻撃として成立しないことから、CVEの採番は行われていない。
- CVE-2020-5639から任意のOSコマンド実行につながる可能性については2020年12月7、9日に修正版リリースされている。
管理者奪取前提の対応推奨
CVE-2020-5639によってアカウント奪取が行われている可能性を踏まえ、修正版へアップデートをするだけでなく、次の軽減策も実行するよう案内が行われている。
- 新しいシステム管理者アカウントの作成とadminアカウントの無効化
- 対策以前に存在したadminアカウント以外の管理者アカウントの降格または削除
- システム管理者アカウントの外部からのアクセス制限
脆弱性の発見、把握を受け、ソリトンシステムズがとった対応は以下の通り。
- 検索サービスを用いて脆弱性が未修正のままとなっているFileZenを調査。121台を把握。
- 把握していた販売先情報に基づき、個別にユーザーへ連絡。
その他関連する情報
- FileZenは主に国内で約1100台が稼働しており、その内6割は地方自治体など公共系組織が利用している。
- 内閣府、富士通は不正アクセスの実行元を特定する調査は行わない方針。
関連タイムライン
事案に関連する出来事を整理すると以下の通り。
日時 | 出来事 |
---|---|
2019年1月30日 | ソリトンシステムズがFileZenの脆弱性①(CVE-2020-5639)の影響をうけないアップデートをリリース。 |
2020年3月 | 内閣府内のFileZenに不正アクセス被害が確認された中で最も古い日付。 |
2020年11月 | ソリトンシステムズがコードチェックで脆弱性①(CVE-2020-5639)を把握。 |
2020年11月25日 | ソリトンシステムズが脆弱性①(CVE-2020-5639)について保守ユーザー、パートナー向けに注意喚起。 |
2020年12月2日 | ソリトンシステムズがFileZenを最新バージョンへアップデートするよう案内を掲載。 |
同日 | JPCERT/CCがFileZenの脆弱性①(CVE-2020-5639)について注意喚起。 |
2020年12月7日、9日 | ソリトンシステムズがFileZenの脆弱性①(CVE-2020-5639)により任意のOSコマンド実行につながる可能性について対策版をリリース。 |
2020年12月10日 | ソリトンシステムズがFileZenの脆弱性情報①(CVE-2020-5639)を一般公開。 |
2021年1月中旬 | 内閣府LAN運用委託先の富士通がFileZenのログが出力されていないことを把握。 |
: | 内閣府のFileZenを遮断、利用停止。 |
2021年1月25日 | ソリトンシステムズが脆弱性②(CVE-2021-20655)について保守ユーザー、パートナー向けに注意喚起。 |
2021年2月8日 | ソリトンシステムズが脆弱性②(CVE-2021-20655)の情報を保守ユーザー、パートナー向けに配信。 |
2021年2月16日 | ソリトンシステムズがFileZenの脆弱性②(CVE-2021-20655)の情報を一般公開。 |
同日 | JPCERT/CCがFileZenの脆弱性②(CVE-2021-20655)について注意喚起。 |
2021年3月5日 | ソリトンシステムズが脆弱性②(CVE-2021-20655)の修正版をリリース。 |
2021年4月22日 | 内閣府が利用していたFileZenが不正アクセスを受けたと発表。 |
2021年4月26日 | 再発防止対応がとられたとして内閣府のFileZenを再稼働させる予定。 |
関連情報
注意喚起・脆弱性情報
CVE-2020-5639
CVE-2021-20655
ソリトンシステムズの公開情報
- 【FileZen】脆弱性対応の経緯
- 2020年12月2日 【重要】FileZen最新バージョンへのアップデートのお願い(V4.2.2以前)
- 2020年12月10日 【重要】FileZenディレクトリトラバーサルの脆弱性について
- 2021年3月5日 【重要】FileZen設定内容確認のお願い
- 2021年4月23日 【FileZen】弊社製品に関する一部報道について
- 2021年5月10日 当社製品/サービスのサイバー攻撃に対する脆弱性に関する取り組みについて
更新履歴
- 2021年4月25日 AM 新規作成
*1:内閣府に不正アクセス 個人情報漏えいか,共同通信,2021年4月23日
*2:残された謎の「dmerm」 内閣府サーバー攻撃の内幕,朝日新聞,2021年4月23日
*3:内閣府にサイバー攻撃 サーバーに「ゼロデイ」の痕跡,朝日新聞,2021年4月22日