クラウドサービスが主流となっている昨今、企業がオンプレミスでパッケージソフトを利用するケースは減少傾向にある。しかし、依然としてクラウドにデータを預けられない事情を持つ企業や自治体は存在する。そうした需要に応えるのが、ノースグリッドが提供するオンラインストレージ構築パッケージ「Proself」だ。
2005年の発売以来、セキュリティレベルの設定のしやすさから官公庁などでも採用されてきたProselfだが、2023年7月、脆弱性が発見され、一時は大きな危機に直面した。
しかしながら今回、その対応の迅速さと丁寧さが高く評価され、第9回 情報セキュリティ事故対応アワード 審査員特別賞に選出された。本記事では、同製品のプロダクトマネージャーを務める菊池敏幸氏に、脆弱性発見から対応の流れについて話を聞いた。
-
ノースグリッド 菊池敏幸氏
「アップロードに時間がかかる」「見たことのないログが」 顧客からの問い合わせで問題が発覚
20年前に製品の立ち上げにも関与したという菊池氏は、Proselfの位置づけや開発背景についてこう語る。
「ユーザー数が多い上場企業や、セキュリティ上の理由からクラウドにデータを預けられない企業・団体、ネットワーク分離の関係でクラウドが使えない自治体などにご利用いただいています。会社の立ち上げ当初は光回線が普及しはじめたばかりの時期で、遠隔地にいる人とファイルのやり取りをする製品がほとんどありませんでした。そこで、まずは社内向けにファイル共有ソフトを開発したことが、Proself立ち上げのきっかけとなりました」(菊池氏)
現在、ノースグリッドは全社員約30名の体制で、Proselfの開発から、販売、サポートまでを社内で手掛けている。機密情報を扱う組織にも長年重用されてきたProselfだが、2023年7月19日、それまでの信頼を揺るがす事態が発生した。菊池氏は、問題が発覚した経緯を鮮明に覚えているという。
「サポートの人員が不足していたため、ちょうど求人の打ち合わせをしている最中でした。社内チャットで、お客様から『ファイルのアップロードに時間がかかる』『見たことのないログが記録されている』との問い合わせがあったという報告が上がってきたのです。すぐにセキュリティホールを突かれたのだと察して、打ち合わせを切り上げ、サポートと開発部門に調査の指示を出し、計6名の体制で対応を進めていきました」(菊池氏)
休眠中のプログラムが攻撃に利用されていた
被害状況の全貌は把握できていなかったものの、約1時間半のうちに脆弱性の箇所は特定された。攻撃は、開発途中で使われなくなっていた休眠中のプログラムの脆弱性を突いたものだった。菊池氏はその詳細について次のように説明する。
「ログを詳しく見ると、HTTPリクエストを発行する’curl’コマンドが実行された痕跡が残っていました。Proselfがこのようなコマンドを呼び出すことは本来ありえないので、攻撃者がOS上で不正にプログラムを実行していたということです。さらに追加でログを回収したところ、開発途中だったプログラムのエラーが攻撃の痕跡として残っており、ここが侵入経路として使われたのだと考えました。攻撃者はかなりProselfを熟知していたようです」(菊池氏)
幸いにも、Proselfは自社開発のフレームワークを用いていたため、脆弱性のある箇所を特定すると同時に該当箇所を消すという対処法で迅速に無効化することができた。問題の報告を受けてから2時間後には暫定対策を決定して、顧客への連絡準備をスタート。当日中には登録ユーザー向けにメールを送信、翌日にはWebサイトで情報公開を行った。
顧客の反応を見ながら公表文の文面をブラッシュアップ、JPCERT/CCとの連携も
顧客への周知にあたっては、脆弱性の詳細をどこまで開示すべきかという難しい判断にも迫られた。菊池氏は「詳しく伝えすぎると新たな攻撃を呼び込みかねません。かといって、Proselfの置かれている状況の危険性が伝わらなくては本末転倒です。社内で入念に議論し、登録ユーザー向けのメーリングリストやWebサイトに掲載するリリースの文面を吟味しました」と振り返る。ただ、「第一報では我々も焦っていたため、うまく伝わらない部分もありました」と反省点があったとも明かす。
![志布志市、事故対応の要諦は「被害者に寄り添う」こと [事故対応アワード受賞]](/techplus/article/20240617-secraward-shibushi/index_images/index.jpg/iapp)