Classi株式会社は5月11日、2020年4月13日に公表した同社の提供する教育プラットフォーム「Classi」への不正アクセスについて、発生直後の対応と実行したセキュリティ強化対策を含めた今後の取り組みについて発表した。セキュリティインシデント公表から1年経過したタイミングでの、取り組みについての報告はあまり例がない。
同社への不正アクセスの経緯については下記の通り。不正アクセス発覚後からサービス復旧までは2日を要している。
2020年4月5日午後1時30分に、同社サービスの開発者に対しフィッシング攻撃がありGitHubの認証情報を窃取、攻撃者は取得した認証情報を利用し、GitHub上に保存されていた同社サービスのソースコードと、ソースコード内に含まれている開発者権限のAWS用アクセスキーを窃取、午後2時6分には攻撃者が不正に窃取した AWS アクセスキーを用いて侵入用サーバを作成、午後2時44分には攻撃者がAWSアクセスキーを用いてデータベースサーバのパスワードを再設定し、侵入用サーバ経由でデータベースサーバへ侵入、データベースサーバでのパスワード変更により同社サービスが停止し、サービス障害アラートが発生、社員がインシデントを検知した。
午後2時53分には、攻撃者が社内サービス環境内に不正構築したサーバから外部へ通信を行った形跡を確認、午後2時56分には同社社員がデータベース障害の復旧を試みたことで攻撃者のデータベース接続が遮断、午後3時55分には同社社員がデータベースパスワードの設定を回復した。
同社では同日午後4時10分に、社員がAWSの監査ログを確認したところ、不審な接続元からの操作が確認されたため外部からの侵入・攻撃があったと判断、午後4時19分に攻撃者に不正利用されたAWSアクセスキーを無効化し、攻撃者が設置した侵入用サーバを停止、午後4時48分には社内検討の結果、2次攻撃の可能性を考慮し安全を確保できるまでの間サービス提供停止を決定し、同社サービスの全サーバを停止した。
同社では同日中にインシデント対策本部を立ち上げ、翌4月6日に株式会社ベネッセホールディングス情報セキュリティ主管部署、ソフトバンク株式会社情報セキュリティ主管部署に報告、外部のセキュリティ専門会社と調査・対応内容の確認、4月6日午後7時30分に同社サービス再開へ向け、社内外の有識者・専門会社と協議した結果、一定の安全確保が行えたと判断しサービスを復旧した。
また同社では、2020年4月8日に新宿警察署に、2020年4月13日に経済産業省に、2020年4月15日に個人情報保護委員会に初回報告・相談をそれぞれ行い、7月30日に最終報告・相談を行っている。
同社に対し2020年7月24日に、善意の第三者から「海外の違法情報を取り扱うウェブフォーラム上に漏えいしたデータらしきものが掲載されている」旨の連絡があり、外部協力会社の協力のもと調査を行った結果、掲載されたデータが2020年4月5日の侵入時に窃取されたものと確認されたため情報漏えいが確定した。同データは2020年7月28日にはサイト上から削除されており、現在は掲載されていない。
なお、同サイトに表示された約1,000万件という件数は、2020年4月13日に報告した現在Classiを利用中の顧客情報122万件に加え、既に失効した既卒生やデモ用、機械的にシステムが発番した現在使われていないアカウント情報約890万件を四捨五入し表現された数値である事を確認している。
同社ではフィッシング攻撃への対策として、多要素認証は適用していたものの不審・不正サイトからのアクセスに対する防御不備があり、フィッシングメールによるGitHub内での認証情報の不正取得が起こったため、ブラウザ・セキュリティ強化、アンチウィルスでの検知強化と、クラウド・セキュリティサービス(CASB)によるフィッシング対策強化を行った。
また同社では、ソースコード内に混入していた個人向けAWSアクセスキーについて完全削除、AWSキーの不正利用に対しては不正利用前に払い出された開発者用AWSアクセスキーの停止と再発行、サーバへの付与権限の最小化、AWSアクセスキーの定期的な更新運用を実施している。
個人情報格納先(データベース)への不正アクセスに対しては、管理者パスワード変更などの重要操作実施時に即時検知する機能を導入した。
同社ではさらに、2020年4月以降の追加セキュリティ対策として、それぞれ下記を行っている。
1.GitHub内企業リソースへの不正アクセスに対する追加対策
・ソースコード管理基盤の企業向け上位ライセンス(GitHub Enterprise Cloud)の導入及び、本ライセンスで有効可能なアクセス制限機能、認証連携機能(SAML)の有効化
・クラウド型統合認証基盤によるソースコード管理基盤との認証統合連携、及び企業リソースに対する追加認証(多要素認証含む)
・開発者ごとのソースコード権限設定の見直し(閲覧・操作範囲の最小化)
・クラウド型統合認証基盤とモバイルデバイス管理サービス連携による端末認証の有効化
2.ソースコード内への機微情報(AWSアクセスキー等)混入防止の追加対策
・ソースコード管理基盤用の機微情混入防止ソフトウェア(git-secrets)による AWSアクセスキーの機械的検知とソースコード管理基盤内企業リソースへの反映防止
・ソースコードレビュー:運用設計の見直し
3.AWS への不正侵入に対する追加対策
・AWS のクラウド型統合認証基盤(AzureAD)とAWS SSO機能によるユーザー認証の一元管理
・セキュア管理アプリケーション(aws-vault)によるAWSアクセスキーの暗号化保管、及び認証情報の時限制限付き利用の強制
4.個人情報格納先(データベース)マスターパスワード不正操作の追加対策
・AWS上の権限を適切な権限保有者以外は操作禁止にする機能で、管理者パスワード変更操作を制御
5.情報セキュリティマネジメントに関する防止策
・情報セキュリティ管理方式の高度化
・ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証の取得を計画(2021年4月に初回審査を実施)
6.社内体制の構築と従業員への教育
・セキュリティ専門家を社内のリーダーに登用し、発見された脆弱性に対する即時対応を原則とした組織編成
・セキュリティインシデント対応の社内専門チーム(CSIRT)の構築準備
・外部セキュリティベンダとのセキュリティ連携強化
・管理職、開発者、全従業員を対象にしたセキュリティ教育の提供と改善
同社によるとセキュリティ対策状態について、2020年10月に外部の専門会社に調査を依頼し、他社と比較して標準水準以上に強化できていると診断されているとのこと。
同社への不正アクセスの経緯については下記の通り。不正アクセス発覚後からサービス復旧までは2日を要している。
2020年4月5日午後1時30分に、同社サービスの開発者に対しフィッシング攻撃がありGitHubの認証情報を窃取、攻撃者は取得した認証情報を利用し、GitHub上に保存されていた同社サービスのソースコードと、ソースコード内に含まれている開発者権限のAWS用アクセスキーを窃取、午後2時6分には攻撃者が不正に窃取した AWS アクセスキーを用いて侵入用サーバを作成、午後2時44分には攻撃者がAWSアクセスキーを用いてデータベースサーバのパスワードを再設定し、侵入用サーバ経由でデータベースサーバへ侵入、データベースサーバでのパスワード変更により同社サービスが停止し、サービス障害アラートが発生、社員がインシデントを検知した。
午後2時53分には、攻撃者が社内サービス環境内に不正構築したサーバから外部へ通信を行った形跡を確認、午後2時56分には同社社員がデータベース障害の復旧を試みたことで攻撃者のデータベース接続が遮断、午後3時55分には同社社員がデータベースパスワードの設定を回復した。
同社では同日午後4時10分に、社員がAWSの監査ログを確認したところ、不審な接続元からの操作が確認されたため外部からの侵入・攻撃があったと判断、午後4時19分に攻撃者に不正利用されたAWSアクセスキーを無効化し、攻撃者が設置した侵入用サーバを停止、午後4時48分には社内検討の結果、2次攻撃の可能性を考慮し安全を確保できるまでの間サービス提供停止を決定し、同社サービスの全サーバを停止した。
同社では同日中にインシデント対策本部を立ち上げ、翌4月6日に株式会社ベネッセホールディングス情報セキュリティ主管部署、ソフトバンク株式会社情報セキュリティ主管部署に報告、外部のセキュリティ専門会社と調査・対応内容の確認、4月6日午後7時30分に同社サービス再開へ向け、社内外の有識者・専門会社と協議した結果、一定の安全確保が行えたと判断しサービスを復旧した。
また同社では、2020年4月8日に新宿警察署に、2020年4月13日に経済産業省に、2020年4月15日に個人情報保護委員会に初回報告・相談をそれぞれ行い、7月30日に最終報告・相談を行っている。
同社に対し2020年7月24日に、善意の第三者から「海外の違法情報を取り扱うウェブフォーラム上に漏えいしたデータらしきものが掲載されている」旨の連絡があり、外部協力会社の協力のもと調査を行った結果、掲載されたデータが2020年4月5日の侵入時に窃取されたものと確認されたため情報漏えいが確定した。同データは2020年7月28日にはサイト上から削除されており、現在は掲載されていない。
なお、同サイトに表示された約1,000万件という件数は、2020年4月13日に報告した現在Classiを利用中の顧客情報122万件に加え、既に失効した既卒生やデモ用、機械的にシステムが発番した現在使われていないアカウント情報約890万件を四捨五入し表現された数値である事を確認している。
同社ではフィッシング攻撃への対策として、多要素認証は適用していたものの不審・不正サイトからのアクセスに対する防御不備があり、フィッシングメールによるGitHub内での認証情報の不正取得が起こったため、ブラウザ・セキュリティ強化、アンチウィルスでの検知強化と、クラウド・セキュリティサービス(CASB)によるフィッシング対策強化を行った。
また同社では、ソースコード内に混入していた個人向けAWSアクセスキーについて完全削除、AWSキーの不正利用に対しては不正利用前に払い出された開発者用AWSアクセスキーの停止と再発行、サーバへの付与権限の最小化、AWSアクセスキーの定期的な更新運用を実施している。
個人情報格納先(データベース)への不正アクセスに対しては、管理者パスワード変更などの重要操作実施時に即時検知する機能を導入した。
同社ではさらに、2020年4月以降の追加セキュリティ対策として、それぞれ下記を行っている。
1.GitHub内企業リソースへの不正アクセスに対する追加対策
・ソースコード管理基盤の企業向け上位ライセンス(GitHub Enterprise Cloud)の導入及び、本ライセンスで有効可能なアクセス制限機能、認証連携機能(SAML)の有効化
・クラウド型統合認証基盤によるソースコード管理基盤との認証統合連携、及び企業リソースに対する追加認証(多要素認証含む)
・開発者ごとのソースコード権限設定の見直し(閲覧・操作範囲の最小化)
・クラウド型統合認証基盤とモバイルデバイス管理サービス連携による端末認証の有効化
2.ソースコード内への機微情報(AWSアクセスキー等)混入防止の追加対策
・ソースコード管理基盤用の機微情混入防止ソフトウェア(git-secrets)による AWSアクセスキーの機械的検知とソースコード管理基盤内企業リソースへの反映防止
・ソースコードレビュー:運用設計の見直し
3.AWS への不正侵入に対する追加対策
・AWS のクラウド型統合認証基盤(AzureAD)とAWS SSO機能によるユーザー認証の一元管理
・セキュア管理アプリケーション(aws-vault)によるAWSアクセスキーの暗号化保管、及び認証情報の時限制限付き利用の強制
4.個人情報格納先(データベース)マスターパスワード不正操作の追加対策
・AWS上の権限を適切な権限保有者以外は操作禁止にする機能で、管理者パスワード変更操作を制御
5.情報セキュリティマネジメントに関する防止策
・情報セキュリティ管理方式の高度化
・ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証の取得を計画(2021年4月に初回審査を実施)
6.社内体制の構築と従業員への教育
・セキュリティ専門家を社内のリーダーに登用し、発見された脆弱性に対する即時対応を原則とした組織編成
・セキュリティインシデント対応の社内専門チーム(CSIRT)の構築準備
・外部セキュリティベンダとのセキュリティ連携強化
・管理職、開発者、全従業員を対象にしたセキュリティ教育の提供と改善
同社によるとセキュリティ対策状態について、2020年10月に外部の専門会社に調査を依頼し、他社と比較して標準水準以上に強化できていると診断されているとのこと。
![人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像](/imgs/std_m/43329.jpg)
