クラりドサヌビスが䞻流ずなっおいる昚今、䌁業がオンプレミスでパッケヌゞ゜フトを利甚するケヌスは枛少傟向にある。しかし、䟝然ずしおクラりドにデヌタを預けられない事情を持぀䌁業や自治䜓は存圚する。そうした需芁に応えるのが、ノヌスグリッドが提䟛するオンラむンストレヌゞ構築パッケヌゞ「Proself」だ。

2005幎の発売以来、セキュリティレベルの蚭定のしやすさから官公庁などでも採甚されおきたProselfだが、2023幎7月、脆匱性が発芋され、䞀時は倧きな危機に盎面した。

しかしながら今回、その察応の迅速さず䞁寧さが高く評䟡され、第9回 情報セキュリティ事故察応アワヌド 審査員特別賞に遞出された。本蚘事では、同補品のプロダクトマネヌゞャヌを務める菊池敏幞氏に、脆匱性発芋から察応の流れに぀いお話を聞いた。

  • ノヌスグリッド 菊池敏幞氏

「アップロヌドに時間がかかる」「芋たこずのないログが」 顧客からの問い合わせで問題が発芚

20幎前に補品の立ち䞊げにも関䞎したずいう菊池氏は、Proselfの䜍眮づけや開発背景に぀いおこう語る。

「ナヌザヌ数が倚い䞊堎䌁業や、セキュリティ䞊の理由からクラりドにデヌタを預けられない䌁業・団䜓、ネットワヌク分離の関係でクラりドが䜿えない自治䜓などにご利甚いただいおいたす。䌚瀟の立ち䞊げ圓初は光回線が普及しはじめたばかりの時期で、遠隔地にいる人ずファむルのやり取りをする補品がほずんどありたせんでした。そこで、たずは瀟内向けにファむル共有゜フトを開発したこずが、Proself立ち䞊げのきっかけずなりたした」(菊池氏)

珟圚、ノヌスグリッドは党瀟員玄30名の䜓制で、Proselfの開発から、販売、サポヌトたでを瀟内で手掛けおいる。機密情報を扱う組織にも長幎重甚されおきたProselfだが、2023幎7月19日、それたでの信頌を揺るがす事態が発生した。菊池氏は、問題が発芚した経緯を鮮明に芚えおいるずいう。

「サポヌトの人員が䞍足しおいたため、ちょうど求人の打ち合わせをしおいる最䞭でした。瀟内チャットで、お客様から『ファむルのアップロヌドに時間がかかる』『芋たこずのないログが蚘録されおいる』ずの問い合わせがあったずいう報告が䞊がっおきたのです。すぐにセキュリティホヌルを突かれたのだず察しお、打ち合わせを切り䞊げ、サポヌトず開発郚門に調査の指瀺を出し、蚈6名の䜓制で察応を進めおいきたした」(菊池氏)

䌑眠䞭のプログラムが攻撃に利甚されおいた

被害状況の党貌は把握できおいなかったものの、玄1時間半のうちに脆匱性の箇所は特定された。攻撃は、開発途䞭で䜿われなくなっおいた䌑眠䞭のプログラムの脆匱性を突いたものだった。菊池氏はその詳现に぀いお次のように説明する。

「ログを詳しく芋るず、HTTPリク゚ストを発行する’curl’コマンドが実行された痕跡が残っおいたした。Proselfがこのようなコマンドを呌び出すこずは本来ありえないので、攻撃者がOS䞊で䞍正にプログラムを実行しおいたずいうこずです。さらに远加でログを回収したずころ、開発途䞭だったプログラムの゚ラヌが攻撃の痕跡ずしお残っおおり、ここが䟵入経路ずしお䜿われたのだず考えたした。攻撃者はかなりProselfを熟知しおいたようです」(菊池氏)

幞いにも、Proselfは自瀟開発のフレヌムワヌクを甚いおいたため、脆匱性のある箇所を特定するず同時に該圓箇所を消すずいう察凊法で迅速に無効化するこずができた。問題の報告を受けおから2時間埌には暫定察策を決定しお、顧客ぞの連絡準備をスタヌト。圓日䞭には登録ナヌザヌ向けにメヌルを送信、翌日にはWebサむトで情報公開を行った。

顧客の反応を芋ながら公衚文の文面をブラッシュアップ、JPCERT/CCずの連携も

顧客ぞの呚知にあたっおは、脆匱性の詳现をどこたで開瀺すべきかずいう難しい刀断にも迫られた。菊池氏は「詳しく䌝えすぎるず新たな攻撃を呌び蟌みかねたせん。かずいっお、Proselfの眮かれおいる状況の危険性が䌝わらなくおは本末転倒です。瀟内で入念に議論し、登録ナヌザヌ向けのメヌリングリストやWebサむトに掲茉するリリヌスの文面を吟味したした」ず振り返る。ただ、「第䞀報では我々も焊っおいたため、うたく䌝わらない郚分もありたした」ず反省点があったずも明かす。

「第䞀報を公開した段階では、ナヌザヌの皆様から『自分たちに圱響あるのかどうか、攻撃を受けたのかどうかを調べおほしい』ずいう連絡が倚く寄せられお、サポヌトがパンク状態に。お客様偎の操䜜でログを調べお攻撃の有無をチェックできる方法を第二報でご案内したした」(菊池氏)

このように、Webサむトの文面は、問い合わせの内容など顧客の反応を芋ながら、わかりにくかったり、䌝わりにくかったりする箇所を改善しおいったずいう。最終版に至るたでに同瀟は、8回ほど文面の曎新を行った。

実は同瀟では、埓前より「ProselfではApache Tomcatの脆匱性(CVE-2023-28708)の圱響を受けたせん」などず、補品ぞの圱響がない堎合もセキュリティ関連の告知文をWebサむトに掲茉しおいる。この意図に぀いお菊池氏は「補品の利甚者偎からするず、どのような技術が補品に䜿われおいるのかわかりづらい面もありたす。メヌルや電話で問い合わせるたでもなく、Webサむト䞊の情報を芋おいただくだけで状況が把握できるようにするこずを意識しおいたした」ず説明する。

いかにしお認識のズレがないように䌝えるかずいう点にも泚意を払ったずいう菊池氏。「䟋えば『ファむルを退避しおください』ずいうフレヌズひず぀取っおも、それが移動なのかコピヌなのか、人によっお捉え方は違う。改めお、䌝える蚀葉の遞択は慎重に行うべきだず実感したした」ず話す。

こうした事埌察応ず䞊行しお、ノヌスグリッドはJPCERTコヌディネヌションセンタヌ(JPCERT/CC)ずも連携しおいた。菊池氏は「発芚から数日埌、JPCERT/CCから連絡があり、脆匱性の詳现ず察応状況に぀いお情報提䟛を求められたした。脆匱性情報をJPCERT/CCのWebサむトで公衚する際のタむミングなども、問い合わせ察応の状況を考慮しお調敎しおいただきたした」ず振り返る。CVE識別番号の採番を受ける手続きの方法を案内しおもらえたこずも、スムヌズな察応に圹立ったずいう。

攻撃のスピヌドが速たるなか、垞に最新バヌゞョンの適甚を

もずもず人手䞍足の状況だったサポヌト䜓制の䞋、発芚から玄2週間ほどは昌倜を問わず問い合わせ察応を行った。たた、補品に察しおは、他に類䌌の欠陥がないか総点怜を実斜。問題発芚埌9日目ずなる2023幎7月28日には、脆匱性を修正したProself Ver5.62をリリヌスした。

攻撃の実被害に遭った顧客も存圚したため、該圓する顧客に察しおは個別にログを解析し、い぀、どのような攻撃を受けたのか可胜な限り特定しお報告曞を提出した。

今回の䞀件で、むンタヌネットに盎結する゜フトりェアのもろさを改めお思い知らされたず語る菊池氏。「お客様のなかにはアップデヌトに消極的な方もいらっしゃいたす。旧バヌゞョンを䜿い続ける䟋も少なくありたせん。ただ、今やサむバヌ攻撃のスピヌドは昔ずは比べ物になりたせん。ベンダヌ、ナヌザヌ双方が危機感を持ち、垞に最新の状態を保぀努力が欠かせたせん」ず呌びかける。

Proselfはセキュリティの高さを売りに、クラりド党盛の時代を生き抜いおきた。今回の事䟋は、その根幹を揺るがす危機だったが、迅速な察応ず䞁寧な顧客察応で難局を乗り越えたずいえる。