自動車大手のホンダは、社内ネットワークのセキュリティ(特にその弱点)に関する機密情報を格納するデータベースが露出した件を受け、これをシャットダウンしました。セキュリティ研究者のJustin Paine氏は、外部に露出しているWebカメラ、ルーター、IP電話などのインターネット対応デバイスを発見できる専門家向け検索エンジン「Shodan」でインターネット内を調査した際に、この機密情報を発見しました。
同氏が発見したのは、ElasticSearchデータベースが外部から認証なしでアクセス可能になっているという問題でした。
このデータベースに含まれていたのは、ホンダ社内のネットワークとコンピューターに関するデータでした。データベース内の情報は、ホンダ社内のマシンのインベントリのようでした。これには、マシンのホスト名、MACアドレス、内部IP、OSバージョン、適用済みのパッチ、ホンダのエンドポイントセキュリティソフトウェアのステータスなどの情報が含まれていました。
「このような情報が攻撃者の手に渡った場合、非常に危険なのは、それが弱点の所在を端的に示しているからである」とPaine氏は説明しています。
同氏は、このデータから、ホンダのコンピューターの保護にはどのエンドポイントセキュリティベンダーが使われていて、どのマシンにセキュリティソフトがインストールされているのか、有効化やアップデートが行われているか(そして、どのマシンはそうでないか)を特定できる状態にあったことを明らかにしています。
さらに、CEOやCFO、あるいはCSOなどの経営陣を含む特定の社員を探して、高度な標的型攻撃を行うことも「極めて簡単」であったと言及しています。
Paine氏はまた、攻撃の特定またはブロックが不可能と思われるコンピューターはどれかが分かれば、それを「ネットワーク全体に通じる開かれた扉」として悪用することも非常に簡単であると指摘しています。
ありがたいことに、同氏は責任ある行動を取りました。ホンダのセキュリティチームにこの件を連絡すると、担当者はすぐにデータベースへのアクセスを遮断しました。ホンダはこの研究者の支援に感謝するとともに、他者が機密データにアクセスした痕跡は認められず、安全が保障されている旨の声明を発表しました。
脆弱性を指摘していただきありがとうございます。貴殿によって特定されたセキュリティ上の問題により、弊社の社員とコンピューターに関する情報を格納するクラウドベースのデータの一部に外部の第三者がアクセスできる状態になっていました。
システムのアクセスログを調査したところ、第三者によってデータがダウンロードされた形跡はありませんでした。現時点では貴殿が撮影したスクリーンショットを除いて、データが漏洩したという痕跡はございません。弊社は関連法規に従って適切な行動をとり、今後、同様のインシデントの発生を防止すべく、予防的なセキュリティ対策に取り組む所存です。
Paine氏は、通報後直ちにデータベースを保護したホンダの「非常に迅速な行動」を称賛しました。
理想の世界では、企業システム内のセキュリティホールをパッチを適用せずに放置することはないでしょう。
しかし、私たちが住んでいるのは理想郷ではありません。それなりの規模の組織には、既知の欠陥に対するパッチが未適用のソフトウェアがいくつかはあるでしょう。
このような状況下では、数十万人の従業員のセキュリティを管理しているITチームに何らかの可視化ツールを持たせて、PCのパッチが適用されていない可能性のある人、古いウイルス対策ソフトを使っている人、脆弱なデバイスを使用している人を把握できるようにすべきでしょう。
しかし、もしあなたの会社がネットワークに接続されているシステムに関するそのような情報をすでに収集しているのだとしたら、それらを悪の手に渡してしまうのは、本当に危険です。
結局のところ、悪意のある攻撃者は、パッチが適用されていないシステムを見つけるための新たな方法を仕入れて、標的型攻撃を仕掛けてくるでしょう。そしてその成功の可能性が高いことを彼らは知っています。
ホンダが置かれた状況に関する記事を読み、独善的な気分になるのは簡単です。しかし、それに対する賢明な反応は冷笑ではなく、同じことが自分の会社でも起こり得るのではないかと自問することです。
そして、万一起きてしまったら、あなたの会社は、ホンダのように迅速にセキュリティホールを閉じることができるでしょうか。
編集者注:ゲスト執筆者による本記事の意見は、筆者自身の意見であり、必ずしもTripwire Inc.の意見を反映するものではありません。
トリップワイヤ・ジャパンでは脆弱性管理、法規制遵守、インシデント対応やサイバーセキュリティに関する有益な情報をお届けしております。すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース
