2020年12月7日、PP社が「お知らせ」より、「当社管理サーバーのアクセス履歴について※linkだけ張っておきます。」と題して、ブラジルからの不正アクセスによりPayPayに加入していた加盟店の店名・住所・連絡先・代表者名・代表者生年月日・契約日・売上振込先(銀行口座情報)・営業対応履歴の他、従業員の氏名・連絡先・アンケート回答者の電話番号やメールアドレスなどの情報が漏洩した可能性があると発表しました。

2020年12月1日に外部からの連絡によって気づき、アクセスログを調査したところ11月28日にブラジルからのアクセス履歴1件を確認したとしています。本件のような不正アクセスによる情報流出事故が発生してしまった場合の適切なセキュリティ対応とはどのようなものか、PP社の発表した対応を振り返りつつ適切なセキュリティ対応を考えてみます。

不正アクセスの原因

今回の情報漏洩の原因は、“アクセス権限の設定不備“であり、情報漏洩発覚後に不正アクセス元となったアクセス元(IPアドレスのことですね)を遮断したとしました。

情報漏洩の原因となったアクセス権限の設定不備とは?

今回情報が漏洩したと考えらる加入店舗の情報は、PPの利用者の情報と同じレベルの重要データです。その重要なデータは必要最低限以外のUser以外に閲覧や編集する権限を与えられてはいけません。しかし、今回はアクセス権限の設定の不備、つまり誤操作によって、外部の管理者権限以外の第三者がアクセスできる権限が与えられていたようです。

設定不備があった箇所の対応

仮に、その重要情報へのアクセス権が設定の不備によって外部からアクセスしてきた管理者権限以外の第三者がアクセスできるようになっていたとするならば、アクセスモニタリングやシステム変更時の監視の強化ではなく、まず最初にやることはアクセス元のIPアドレスをFirewallなどのセキュリティ機器で特定のIPアドレスからのすべてのアクセスを遮断します。

ただし、今回の不正アクセスの発信元は、おそらく踏み台となっただけにすぎませんので、次回からの不正アクセスが仮にあったとしても同じIPアドレスからアクセスしてくるとは限りませんので、不正アクセスに対するセキュリティ対策としては限定的なものになるとわかりつつ、まずは不正アクセス元となったIPアドレスからのすべての通信を遮断しておきます。

↑の話が長くなってしまいましたが、、、次に、アクセス権の割り当ての見直しを行い、今回のターゲットとなったディレクト以下のアクセス権の見直し・再割り当てを行うことが必要です。アクセス権限の割り当てという作業項目の抜けを埋めておきます。

次に着手するのは作業手順書の見直しとアクセスログの見直し

次に、設定変更の際の作業手順に確認項目を増やした上で、Wチェック後にエンターキーを押すような作業項目の見直しが必要となります。そして、その上で重要ファイルへの操作履歴を含む作業ログはログレベルをあげることで保存することがベストです。

但し、ログは不正アクセスを行った悪意ある第三者に簡単に書き換えられてしまいますのでさらなる注意が必要です。こちらも簡単に削除されたり、書き換えられたりしないようなアクセス権の見直しと、外部へのログデータの出力などについても対策をとっておくことが望ましいと言えます。

アラートによるセキュリティ対策

セキュリティ対策の多層化といった意味では、重要データへのアクセスについては常時モニタリングを行い、設定変更等の予定された作業以外の時は、重要データへの何らかの操作やアクセスがあった際に、メールなどのアラートが発せられる仕組みにつくりかえておくことも良い策です。

Rootを奪取されてしまうようなケースは脆弱性の特定と改修が必要

話が多少反れてしまうのですが、外部から不正なサイバー攻撃により管理権限を奪われてしまう、所謂、Root奪取されてしまったことがキッカケで重要データへの不正アクセスを許してしまっていた場合には、不正なサイバー攻撃の対象となり突破口となってしまった”システムの脆弱性”を特定しなければなりません。具体的にどのアプリケーションに脆弱性があり、どのような手口を使って権限を奪取されてしまったのかを(困難な作業にはなりますが)特定します。

脆弱性の存在が特定されたら「ソフトウエアのアップデートによる脆弱性の改修」、それができないのでれば「ソフトウエアコードレベルでの脆弱性の改修」によって対応します。脆弱性が発見されたのが市販のソフトウエアであって且つソフトウエアメーカーがその脆弱性を認識し、セキュリティパッチを既に配布しているのであれば話は簡単ですが、そうでない場合、代理店に連絡し、再現性の確認をとってもらい、メーカーの対応を待つといった試練の日々が続くことになります。(;’∀’)

日々の基本的なシステムテストは自動化しておくことで作業負荷を大幅に減らす。

ファイルのアクセス権の設定などは毎回決まった“システムテスト”工程のひとつとして、自動化しておくことで今回のような「設定作業の抜け」や「テストのし忘れ」、「人為的な作業時のミス」などのシンプルなリスクを大幅に改善することができます。

デプロイや設定変更作業の後のテストとして、決まったテスト項目は自動化しておくことが思わぬセキュリティの穴をつくらない為の対策にもなるのでおススメです。

まとめ

といった感じで、ざっくりとした感じで大方のセキュリティ対策の流れを簡単にピックアップしてみました。

「人のふり見て我がふり直せ」の諺通り、サイバー攻撃で被害にあったケースを教訓として、自社のセキュリティ点検項目を今一度、見直しすことは非常に重要ですので、今回の報道をキッカケとして、「年末のセキュリティ再点検」と題して再点検してみるのも良いでしょう。(^^)/