クラウドサービスが主流となっている昨今、企業がオンプレミスでパッケージソフトを利用するケースは減少傾向にある。しかし、依然としてクラウドにデータを預けられない事情を持つ企業や自治体は存在する。そうした需要に応えるのが、ノースグリッドが提供するオンラインストレージ構築パッケージ「Proself」だ。

2005年の発売以来、セキュリティレベルの設定のしやすさから官公庁などでも採用されてきたProselfだが、2023年7月、脆弱性が発見され、一時は大きな危機に直面した。

しかしながら今回、その対応の迅速さと丁寧さが高く評価され、第9回 情報セキュリティ事故対応アワード 審査員特別賞に選出された。本記事では、同製品のプロダクトマネージャーを務める菊池敏幸氏に、脆弱性発見から対応の流れについて話を聞いた。

  • ノースグリッド 菊池敏幸氏

「アップロードに時間がかかる」「見たことのないログが」 顧客からの問い合わせで問題が発覚

20年前に製品の立ち上げにも関与したという菊池氏は、Proselfの位置づけや開発背景についてこう語る。

「ユーザー数が多い上場企業や、セキュリティ上の理由からクラウドにデータを預けられない企業・団体、ネットワーク分離の関係でクラウドが使えない自治体などにご利用いただいています。会社の立ち上げ当初は光回線が普及しはじめたばかりの時期で、遠隔地にいる人とファイルのやり取りをする製品がほとんどありませんでした。そこで、まずは社内向けにファイル共有ソフトを開発したことが、Proself立ち上げのきっかけとなりました」(菊池氏)

現在、ノースグリッドは全社員約30名の体制で、Proselfの開発から、販売、サポートまでを社内で手掛けている。機密情報を扱う組織にも長年重用されてきたProselfだが、2023年7月19日、それまでの信頼を揺るがす事態が発生した。菊池氏は、問題が発覚した経緯を鮮明に覚えているという。

「サポートの人員が不足していたため、ちょうど求人の打ち合わせをしている最中でした。社内チャットで、お客様から『ファイルのアップロードに時間がかかる』『見たことのないログが記録されている』との問い合わせがあったという報告が上がってきたのです。すぐにセキュリティホールを突かれたのだと察して、打ち合わせを切り上げ、サポートと開発部門に調査の指示を出し、計6名の体制で対応を進めていきました」(菊池氏)

休眠中のプログラムが攻撃に利用されていた

被害状況の全貌は把握できていなかったものの、約1時間半のうちに脆弱性の箇所は特定された。攻撃は、開発途中で使われなくなっていた休眠中のプログラムの脆弱性を突いたものだった。菊池氏はその詳細について次のように説明する。

「ログを詳しく見ると、HTTPリクエストを発行する’curl’コマンドが実行された痕跡が残っていました。Proselfがこのようなコマンドを呼び出すことは本来ありえないので、攻撃者がOS上で不正にプログラムを実行していたということです。さらに追加でログを回収したところ、開発途中だったプログラムのエラーが攻撃の痕跡として残っており、ここが侵入経路として使われたのだと考えました。攻撃者はかなりProselfを熟知していたようです」(菊池氏)

幸いにも、Proselfは自社開発のフレームワークを用いていたため、脆弱性のある箇所を特定すると同時に該当箇所を消すという対処法で迅速に無効化することができた。問題の報告を受けてから2時間後には暫定対策を決定して、顧客への連絡準備をスタート。当日中には登録ユーザー向けにメールを送信、翌日にはWebサイトで情報公開を行った。

顧客の反応を見ながら公表文の文面をブラッシュアップ、JPCERT/CCとの連携も

顧客への周知にあたっては、脆弱性の詳細をどこまで開示すべきかという難しい判断にも迫られた。菊池氏は「詳しく伝えすぎると新たな攻撃を呼び込みかねません。かといって、Proselfの置かれている状況の危険性が伝わらなくては本末転倒です。社内で入念に議論し、登録ユーザー向けのメーリングリストやWebサイトに掲載するリリースの文面を吟味しました」と振り返る。ただ、「第一報では我々も焦っていたため、うまく伝わらない部分もありました」と反省点があったとも明かす。

「第一報を公開した段階では、ユーザーの皆様から『自分たちに影響あるのかどうか、攻撃を受けたのかどうかを調べてほしい』という連絡が多く寄せられて、サポートがパンク状態に。お客様側の操作でログを調べて攻撃の有無をチェックできる方法を第二報でご案内しました」(菊池氏)

このように、Webサイトの文面は、問い合わせの内容など顧客の反応を見ながら、わかりにくかったり、伝わりにくかったりする箇所を改善していったという。最終版に至るまでに同社は、8回ほど文面の更新を行った。

実は同社では、従前より「ProselfではApache Tomcatの脆弱性(CVE-2023-28708)の影響を受けません」などと、製品への影響がない場合もセキュリティ関連の告知文をWebサイトに掲載している。この意図について菊池氏は「製品の利用者側からすると、どのような技術が製品に使われているのかわかりづらい面もあります。メールや電話で問い合わせるまでもなく、Webサイト上の情報を見ていただくだけで状況が把握できるようにすることを意識していました」と説明する。

いかにして認識のズレがないように伝えるかという点にも注意を払ったという菊池氏。「例えば『ファイルを退避してください』というフレーズひとつ取っても、それが移動なのかコピーなのか、人によって捉え方は違う。改めて、伝える言葉の選択は慎重に行うべきだと実感しました」と話す。

こうした事後対応と並行して、ノースグリッドはJPCERTコーディネーションセンター(JPCERT/CC)とも連携していた。菊池氏は「発覚から数日後、JPCERT/CCから連絡があり、脆弱性の詳細と対応状況について情報提供を求められました。脆弱性情報をJPCERT/CCのWebサイトで公表する際のタイミングなども、問い合わせ対応の状況を考慮して調整していただきました」と振り返る。CVE識別番号の採番を受ける手続きの方法を案内してもらえたことも、スムーズな対応に役立ったという。

攻撃のスピードが速まるなか、常に最新バージョンの適用を

もともと人手不足の状況だったサポート体制の下、発覚から約2週間ほどは昼夜を問わず問い合わせ対応を行った。また、製品に対しては、他に類似の欠陥がないか総点検を実施。問題発覚後9日目となる2023年7月28日には、脆弱性を修正したProself Ver5.62をリリースした。

攻撃の実被害に遭った顧客も存在したため、該当する顧客に対しては個別にログを解析し、いつ、どのような攻撃を受けたのか可能な限り特定して報告書を提出した。

今回の一件で、インターネットに直結するソフトウェアのもろさを改めて思い知らされたと語る菊池氏。「お客様のなかにはアップデートに消極的な方もいらっしゃいます。旧バージョンを使い続ける例も少なくありません。ただ、今やサイバー攻撃のスピードは昔とは比べ物になりません。ベンダー、ユーザー双方が危機感を持ち、常に最新の状態を保つ努力が欠かせません」と呼びかける。

Proselfはセキュリティの高さを売りに、クラウド全盛の時代を生き抜いてきた。今回の事例は、その根幹を揺るがす危機だったが、迅速な対応と丁寧な顧客対応で難局を乗り越えたといえる。