少し前ですが、富士通の「ProjectWEB」というWebサービスから情報領主したと話題になりました。ただ、2021年10月時点で、原因など詳しいことは分かってなく、まだまだ富士通側で調査している段階という状況です。出ている情報も少ないですが、個人的になぜこれが起きたかというのは気になったので、情報が少ないながらも推定される要因や感じたことを書いてみたいと思います。
まずは事の経緯ですが、2021年5月にProjectWEBを管理してるサーバからIDとパスワードが流出し、それを使ってサーバに保存してたファイルも流出したというものになります。もちろん、二段階認証を設けてなかった点は甘かった部分ではありますが、そもそもなんでIDとパスワードが流出したのかというのが争点になると思います。2021年の10月時点で、何かしらの脆弱性をつかれたという情報しかなく、詳細な原因は不明との事。
そもそも、パスワードをハッシュ化してなかったのかよと突っ込みたくなりますが、それは後にして、まずはProjectWebとはどんな仕組みかというのを紹介します。と言いつつも、ProjectWebについて調べてみましたが、そもそも公式で出ている情報が少ないです。少ない情報の中で下記の資料によると、確実なこととしては、
・1998年から運用を開始している。
・Webアプリケーションである。
・Windowsサーバの基盤で動いている。
くらいでしょうか。
【SEのビジネス基盤を目指すProjectWebの新たな取り組み】
https://www.fujitsu.com/downloads/JP/archive/imgjp/jmag/vol60-6/paper10.pdf
個人的な推定ですが、もう少しIDとパスワードが流出した原因を掘り下げてみましょう。流出した際に、何かしらの脆弱性を突かれたということで、以下の原因が考えられるものとして挙げられます。
①サーバやライブラリのパッチを当ててなかった。
②アプリケーションがバグっていた。
③使ってる技術の未知の脆弱性を突かれた。
まず、①についてはそもそも論外というか、さすがに富士通のレベルでこれやったら、あかんでしょという感じです。さすがにこれが原因で何ヵ月も調査ってのはあまり考えにくいので、可能性としては低い気がします。
次に②については、直近もアップデート等行ってたら、ありうる話です。ただ認証部分をあまり大きくイジることは考えにくいですし、もしバグってたら何ヵ月も調査ってのもあまりないので、可能性としてはやはり低いかなと思います。
一番高そうな可能性は③と考えています。Twitter情報ではありますが、ProjectWebではActiveXを使用された機能があるらしく、これが現在も使われているとしたらかなりのリスクではと思います。
富士通のprojectweb懐かしいなー。標準ブラウザはIEでactiveXとか設定しないと使えないクソファイル共有サイトだった。
— あじふらい (@thesis_of_cruel) May 26, 2021
ActiveX自体はセキュリティにあまり強くないイメージがあって、かなり昔の話ではありますが、下記の記事のような任意のコードを実行できてしまうものも脆弱性としてあったりしました。ProjectWebで仮にまだActiveXを使用する機能があったとしたら、まだ発見されていない脆弱性を突かれた可能性はあるかなと感じます。
さて、では富士通がこのインシデントを受けてどのような対応を行ったかというと、専任CISOを設置したとの記事がありました。専任CISOを置くこと自体は別に良いと思うのですが、ちょっと個人的に想定される原因含めて感じたことがあるので、最後に少しまとめて書いてみます。
まずインシデント発生から原因の特定までの時間が、長すぎる点が非常に問題と感じます。だからこそCISO専任で置いたと思いますが、CISOを置けば解決するのかという点が非常に疑問です。
そして、きちんと情報開示をすべきと思います。仮にActiveXの脆弱性だとしたら、被害を受けるのは富士通だけではないし、他に被害が発生しないためにもきちんと伝える義務があると感じます。また、原因がActiveXでないにしても、どのような要素技術を使っていて、どういう可能性が考えられるのか、そういったものを情報開示しないと他社の運用にも活かせないし、富士通は自社で完結させれば良いのかという印象を持ってしまいます。もちろん、ちゃんと調査したい気持ちは分かりますが、数ヶ月ほとんどこれといった情報がないのは海外のベンダーと比べてスピード感が感じられないし、これじゃあサービス負けるよねというのが率直に感じたことです。
根本的な問題としては富士通はやはりSIerであり、顧客にシステムを作って終わりという意識であって、自社でプロダクトを運営する能力に欠けているという点でしょう。おそらく現在もかなりレガシーな環境でProjectWebが稼働していると考えられ、ちゃんとサービスを良くしたり拡大するといった意識がない状態で運用したと思われます。将来性がないプロダクトならどこかで見切りをつけるべきを、ダラダラ続けてしまってるのでしょう。パスワードもおそらくハッシュ化していないようなダサい仕組みで続けてきたツケが、回ってきたような感じがします。
真剣に自社サービス良くしたかったら、強化すべきはCISOでなくてCPOやCTOであり、セキュリティインシデントだからCISOというのは、何か安直に感じました。自社のプロダクトを継続的に良くしていこうという意識がなかったら、そりゃセキュリティもおざなりになるし、そういうグダグダな運用こそが根本的に改善すべきことなのではないでしょうか。
