NTTコミュニケーションズ(NTT Com)は5月28日、同社の設備が攻撃者からの不正アクセスを受けたことを同7日に検知し、一部の情報が外部に流出した可能性があることを同11日に確認したと発表した。社内調査の結果、同社の一部サービス(「Bizホスティング エンタープライズ(BHE)、「Enterprise Cloud1.0(ECL1.0)オプションサービス」)に関する工事情報管理サーバおよび、同社の社内業務で利用しているサーバ群(社内サーバ群)において、一部の情報が外部に流出した可能性があることが判明した。
現時点において踏み台となったサーバ停止などの初動措置を終えているが、影響を受けた可能性があるユーザーには順次連絡するとともに、再発防止に向けた対応を実施しており、個人のユーザーに関する情報は含まれていないという。
対応の経緯としては、5月7日にシステム主管部門が同社のActive Directory(AD)サーバに対し、不正な遠隔操作を試みたログを検知し、同日に当該の遠隔操作の踏み台となった社内セグメントのAD運用サーバ(サーバA)を緊急停止。
その後は調査を開始し、サーバAへのアクセス元のBHE/ECL1.0サービス管理セグメントにある運用サーバ(サーバB)を緊急停止し、社内セグメントのADサーバから外部への通信をすべて遮断したほか、マルウエアと通信する外部サイトとの通信を遮断した。
その後、社内サーバ群のアクセスログを解析した結果、不審なアクセスがあり一部の情報が流出した可能性があることが5月11日に判明また、今回の不正アクセスによる情報流出の恐れのあるルートは、サーバB経由であったため、サーバBのフォレンジック調査を実施。
結果として、BHE/ECL1.0サービス管理セグメントの工事情報管理サーバ(サーバC)に不正アクセスされた形跡があることが判明し、サーバCのアクセスログを解析した結果、サーバCに保管されていたファイルが流出した可能性があることが5月13日に判明した。
なお、侵入経路を調査した結果、サーバBがあるBHE/ECL1.0サービス管理セグメントに接続されている海外拠点(シンガポール)への攻撃および侵入をきっかけとして、日本のサーバBに到達したことが判明している。
-
発生事象の概要
現時点で、流出の可能性が判明している情報は、サービス管理セグメントの工事情報管理サーバ(サーバC)から、サービスに関する工事情報などが流出した可能性がある顧客数は621社となっている。
BHEは利用中のユーザーの環境を新サービスに移行しており、今回移行に伴い撤去を控えていたサーバB、海外の運用サーバ、ならびに一部の通信経路が攻撃者の侵入経路として利用されたと考えているという。
今後の対策として、新サービスに移行中の設備に対しても、物理的な撤去が終わるまでは最新の攻撃手法に対応可能なセキュリティ対策を適用することに加え、ユーザーが利用停止する都度、不要な通信経路の停止を徹底するとしている。
