富士通のプロジェクト情報共有ツール「ProjectWEB」への不正アクセスについてまとめてみた

2021年5月25日、富士通はプロジェクト情報共有ツール「ProjectWEB」を利用する一部のプロジェクトに対し不正アクセスがあり、ツール内で保管された情報が窃取されたことを発表しました。ここでは関連する情報をまとめます。

情報流出確認されシステム運用停止

不正アクセスが確認されたProjetWEBは社内外の関係者（同社グループ会社、顧客、業務委託先等）とインターネット上で情報共有するサービス。ライブラリ、予定表、Todo管理、ドキュメント管理等の機能で構成される。富士通のデータセンターで稼働。利用実績は公表されていないが、数千プロジェクトで利用と報じられている。（平成21年時点で3000か所で利用）*1
富士通が不正アクセスとみられる痕跡を確認したのは5月6日。調査の結果、流出事実が確認されたことから25日にシステム運用を停止している。富士通社内への不正アクセスは確認されていない。*2 復旧見通しは不明で事業活動、顧客への大きな影響が生じない対応を進めているとしている。*3
2022年3月7日時点で影響を受けた顧客数は142件。閲覧、ダウンロードが行われた情報には顧客システムの関連情報（システム構成機器に関する情報など）、プロジェクト運営関連情報（体制図、打合せメモ、作業項目一覧、進捗管理表、社内事務手続きに関係する資料など）、その他公開情報が対象。顧客や関係者の氏名、メールアドレスといった個人情報が含まれるケースもある。(警視庁へは被害相談済) 窃取された情報の悪用は確認されていない。詳細については取引先情報も含まれることから回答を控えるとしている。*4
当初5月25日時点で同事案に係る発表を行っていたのは成田国際空港のみだった。その後26日から官公庁より被害公表が行われている。またProjectWEBへ行われた不正アクセスに関する具体的な手口は関係者へ管理者アカウントが侵害された可能性があると富士通が報告したことが報じられるも、同社からは公表されていない。

f:id:piyokango:20210526051851p:plain — ProjectWEBのログインページ

正規の手段で接続し情報窃取

不正アクセスは正規の手段（正規のID、パスワード＋正常な認証・通信）で行われていたと富士通は説明した。
ProjectWEBには数種類の脆弱性が存在していることが確認されている。第三者が正規のID、パスワードを使って正常に認証できた理由として、特定には至らなかったものの何らかの脆弱性が悪用された可能性があるとした。
リリースには含まれていないが、窃取された認証情報は特権アカウントであったことが富士通から報告されたとする省庁の担当者もいたことが報じられている。*5

新ツールへの移行決定

ドキュメント管理、プロジェクトマネジメントを基本機能とするツールの導入を決定。ツールの実装はMicrosoft、Boxなどを組み合わせたものを富士通が設計や運用を行うことが報じられている。*6
新ツール導入決定を受けて、不正アクセスを受けたProjectWEBは利用終了する。新ツールへのデータ移行には暗号化、秘密度に応じたアクセス制御、対象データの選定などの情報管理の施策を行う。顧客がProjectWEBで利用していた機能を継続して必要とする場合は、新ツールを選定することも可能。

専任CISO任命とCISO直轄組織の設置

2021年10月1日付で専任のCISOを任命し情報セキュリティ体制を強化。その後運用上の問題が確認されたことから新たな全社施策を追加。（年次の自主点検に加えサンプリングによるCISO直轄組織の確認、部門ルールに加えCISO直轄組織がレビューし追加見直しを指示、情報管理状況の可視化、具体的な事例盛り込みなど教育周知の強化）
外部有識者による検証委員会を設置し、原因や富士通の対応について検証。NISCにこれまでの調査結果の妥当性等の検証を目的に対応を相談。しかるべき時期に改めて総括を行う。

被害事例① 運航情報管理システムの関連資料がダウンロードされる

ProjectWEB上には富士通が開発した運航情報管理システム（NARCⅣ）に関係するシステム運用や保守の情報が含まれており*7、17日までにダウンロードされた形跡が確認されたことから富士通より外部流出の可能性が高いと報告を受けていた。*8 当該システムでは駐機場の利用実績や予定を管理している。*9
運航情報管理システム自体はインターネットから直接接続は出来ず、これまでに不正アクセスとみられる形跡も確認されていない。航空機の運航など安全上への影響もないとNAAは説明。*10 また事案発生を受け、NAAは関係システムの緊急点検を行った他、アクセス制限、監視の強化を行っている。
不正アクセスが判明したのは6日、NAAの発表は20日に行われており、富士通の発表が遅れた理由に対し、「案件の特殊性や顧客への影響を踏まえ、公表内容やタイミングを検討した結果だ」「事実確認や顧客企業とやりとりし、しかるべき対応を取った後に公表した」と取材に回答している。*11 NAAは17日に富士通から報告を受けた際、他の企業、機関でもあるとの話があったと明らかにしている。*12

被害事例② 官公庁で不正アクセス公表続々

以下組織でProjectWEBへの不正アクセスによる情報流出被害の公表が行われている。

内閣官房内閣サイバーセキュリティセンター（2021年5月26日公表）
国土交通省（2021年5月26日公表）
外務省（2021年5月26日公表）

内閣官房内閣サイバーセキュリティセンター

[PDF] 富士通株式会社が管理・運営するプロジェクト情報共有ツールへの不正アクセスによる情報の流出について
[PDF] 富士通株式会社が管理・運営するプロジェクト情報共有ツールへの不正アクセスによる情報の流出について（第２報）

不正アクセスによりNISC内情報システムに関する情報が外部流出したとの報告を富士通より受領。
原因、影響範囲は現時点で調査中だが、システム構成に係る機器類などの情報が含まれる。
影響を受ける機器類に対する被害拡大防止措置は既に行っている。
その後詳細な情報提出を求めたところ、流出情報にNISC主催のサイバーセキュリティに関する情報共有訓練参加組織の情報が含まれていたことが判明した。
参加組織情報は組織名、参加者役職、氏名の一部が対象。

国土交通省

富士通株式会社が管理・運営するプロジェクト情報共有ツールへの不正アクセスによる国土交通省関係情報の流出について

不正アクセスにより、国交省内のシステム関係情報が外部流出したとの報告を富士通より受領。富士通はシステム関係の業務委託先。
影響を受けた機器類等の省内のシステムへは不正アクセスは確認されていない。（省内システムの障害、業務支障は5月26日時点で確認されていない。）
職員、国交省メーリングリストに登録された外部関係者のメールアドレスの流出が少なくとも7.6万件が確認されており、個別に連絡を行う予定。*13

外務省

富士通株式会社が管理・運営するプロジェクト情報共有ツールへの不正アクセスによる情報の流出について

不正アクセスにより外務省提供資料を含む情報が外部に流出したとの報告を富士通より受領。
外務省推進のデジタルガバメント実現に向けた検討資料が流出したことが確認されている。同資料は今後に向けた検討資料であって、外務省内のシステム、業務への影響は確認されていない。
省外の関係者63名の氏名、所属組織が記述されていた。

経済産業省

ProjectWEBの不正アクセスによる影響対象に経済産業省が含まれていたと報じられている。*14
省内情報が流出したものではなく、経済産業省の公表した情報を富士通側が入手していたものであり、影響無しとの判断。

総務省

富士通株式会社が管理・運営するプロジェクト情報共有ツールへの不正アクセスによる情報の流出

外部に流出した情報に、省内の情報システムを構成する機器等の情報、担当者名、連絡先などの個人情報が含まれる可能性。

出入国在留管理庁

6月24日にプロジェクト情報共有ツールによる影響を受けていたとして被害があったことを公表されたと報じられた。 *15 *16
2021年1月までに運用を行っていた情報システムに係る委託業務に関連する情報。
入管庁の電話番号、施設の住所、担当者名（名字のみ）が含まれる。悪用は確認されていない。

国立印刷局

[PDF] 他機関の委託先である富士通株式会社が管理・運営するプロジェクト情報共有ツールへの不正アクセスによる情報の流出について

国立印刷局が富士通に提供した資料を含む情報が外部に流出したとの報告を受領。
6月28日時点で情報流出による悪用被害は確認されていない。
流出疑念のある情報には日本銀行券の製造、偽造防止に係る情報は含まれていない。

警察庁

2021年9月6日に報道で影響を受けていたことが明らかになった。対象のシステムは既に運用を終了して撤去済みであることから問題は生じていないと警察庁は見解を示している。*17
警察庁は過去に運用していたシステムの設計情報などが流出していたことを取材に対して回答。システム撤去後に富士通側がデータの廃棄をしておらず、2021年5月末に報告を受けたとしている。

NISCが政府機関、重要インフラ事業者へ注意喚起

[PDF] プロジェクト情報共有ツールに対する不正アクセス対策の確認に関する政府機関等及び重要インフラ事業者等への注意喚起の発出について

ProjectWEBに係る事案発生を受け、5月24日に内閣官房内閣サイバーセキュリティセンターが政府、重要インフラ事業者等へ注意喚起を行っている。これは同ツールを中央省庁等の行政機関、重要インフラ事業者で多く採用されているため。*18
NISCでは同種ツールの利用確認とツール上へ保管された情報資産の外部流出の懸念に対する対応を推奨している。
推奨される対応として、不正アクセスへの対策、情報漏洩を念頭に置いた対策、関係機関等への報告の3つを挙げている。
NISCに対しては26日時点でNAA以外から重要インフラ事業者へ被害報告は寄せられていない。*19

総務省が自治体へ注意喚起

2021年5月27日付で全国の自治体に対し、情報共有ツールの利用状況を確認し、問題の発生がないことを確認する通知を発出。*20
5月28日の総務大臣の記者会見では総務省、自治体の情報流出に係る報告はないと述べている。

自社がProjectWEBを使っているか調べるには

NAAの様に影響を受けた組織には富士通から報告が行われているが、全組織に対して報告が完了したのかは不明。組織内利用当事者からの報告が第一だが、事案発生に気づけていない恐れがある。
piyokangoが確認したところ、soln.jpドメイン上でProjectWEBに係るサービスが稼働していた。当該ドメインへのアクセスが自社から行われているか確認することでProjectWEBを利用しているかの調査は可能とみられる。

富士通の公表情報

2021年5月25日プロジェクト情報共有ツールへの不正アクセスについて
2021年8月11日プロジェクト情報共有ツールへの不正アクセスについて（第二報）
2021年9月24日プロジェクト情報共有ツールへの不正アクセスについて（第三報）
2021年12月9日プロジェクト情報共有ツールへの不正アクセスについて（第四報）
2022年3月7日プロジェクト情報共有ツールへの不正アクセスについて（第五報）

日時	出来事
2021年5月6日	富士通がProjectWEBに対する不正アクセスの形跡を確認。
2021年5月14日	富士通が国土交通省へ不正アクセスによる情報流出を報告。
2021年5月17日	富士通が成田国際空港へ不正アクセスによる情報流出を報告。
2021年5月20日	成田国際空港が運航情報管理システムの情報流出を公表。
2021年5月24日	NISCが政府、重要インフラ事業者向けに注意喚起を発出。
2021年5月25日	富士通がProjectWEBのシステム運用を停止。
同日	富士通がProjectWEBへの不正アクセスを公表。
2021年5月27日	総務省が全国の自治体に対して問題調査を行うよう通知。
2021年6月28日	富士通が株主総会で不正アクセスによる情報漏えいを取り上げ。*21
2021年8月11日	富士通が不正アクセスの続報、および検証委員会の設置を公表。
2021年9月24日	富士通が専任CISO、CISO補佐を10月1日付での任命と運用体制の強化を行うことを公表。
2021年12月9日	富士通が新ツール移行の決定とProjectWEBの利用停止を公表。
2022年3月7日	富士通が被害顧客件数を追加したことを公表。