内部情報が公開状態となっているのは、ファイルをやり取りするための「ファイル転送サーバ(FTPサーバ)」のうち、パスワードを入力せずに外部からアクセスできる「匿名FTPサーバ(anonymous FTPサーバ)」。匿名FTPサーバ自体はインターネット黎明期から存在する情報共有手段の1つだが、近年は他の手段の多様化により利用されなくなりつつあるという。
情報が公開状態となっていたのは国内の約3400組織・個人で、大部分は公開しても差し支えないとみられる情報だったが、中には営業秘密に該当し得る請求書や見積書のほか、年賀状送り先一覧、従業員名簿、メールのバックアップといった個人情報も含まれているという。
なお、管理が不十分なまま匿名FTPサーバを使っているのは、個人以外では中小企業がほとんどで、大企業や政府系機関の使用は目的があって情報を公開しているもの以外には確認できなかった。ただ、意図せず公開されている情報の中には、請求書や見積書の宛名などに大企業やよく知られた組織の名前が確認できるケースも多く、取引の内容や金額が第三者から容易に閲覧できる状況となっているという。
意図せず内部情報が公開される直接的な原因はアクセス権限の設定不備で、背景として次のようなケースが考えられる。
- 不特定多数に対して公開しているサーバであるとの認識がない
- 過去に使ったFTPサーバが利用者のいなくなった今も停止されずに放置されている
- 社員が自宅などで作業するため個人でFTPサーバを設置しており、組織としてサーバの存在を認識していない
内部情報が外部に公開されていると、次のような問題が生じる恐れがあるという。
- 取引先から情報管理の責任を問われるおそれがある
- 取引先とのやり取りが標的型攻撃に悪用されるおそれがある
- 取引先名が漏れることにより、取引先自身の情報管理が不十分だという風評被害を生じさせる恐れがある
さらに、匿名FTPサーバでファイルの書き込みも自由にできる状態になっている場合には、コンピュータウイルスや違法コピーした映画やアニメなどの「ファイル置き場」に使われる危険性もある。
情報漏洩を防ぐには、まず、FTPサーバの設置・運用状況を確認する必要がある。FTPサーバは専用のサーバ機に限らず、Windowsの機能として通常のパソコンに、LAN接続型の外付けハードディスク(NAS)に、あるいはクラウド上にでも設置できるので、情報システム部門だけでなく、個々の社員がそのようなことをしていないかも確認する必要がある。組織内にFTPサーバが存在する、または社員が個人でFTPサーバを設置したことがあると判明したら、さらに次の点を確認し、対策を検討すべきだという。
- 意図せず外部の誰もがアクセスできる状態(匿名FTPサーバ)になっていないか
- 意図して外部に公開している場合でも、誰もが書き込みできる状態になっていないか →そのような状態になっている場合は、直ちに書き込み権限を制限するとともに、不審なファイルが置かれていないか確認する
- FTPサーバは今後も業務に必要か →業務に必要な場合はアクセスできる範囲を制御する →必要でない場合はFTPサーバを停止する。さらに、社内で勝手に匿名FTPサーバが設置されないよう、ファイアウォールで外から内への通信を遮断する
FTPサーバのアクセス管理不備による問題は古くて新しいテーマ。ラックは、2006年にもアクセス権限の制御が不十分(パスワードを設定していない、IDとパスワードが同一など)なFTPサーバに対する攻撃が増加していることに関し、注意喚起情報を発表した。
今回判明した匿名FTPサーバからの意図しない内部情報の公開は、この注意喚起から10年経過した現在もなお、情報セキュリティの基本であるアクセス管理が徹底できていない事実を示しているとしている。
ラックは、「今や、インターネットに接続した機器には世界のどこからでもアクセスされる可能性があります。2016年1月には、ネットワークカメラの映像が意図しないまま公開されていることが報じられ、話題となりました。これと同様に、ファイル転送サービス(FTP)により公開されている情報を探し出す検索サービスも存在します。利用者、特に経営トップは、インターネットで公開状態にしている情報は容易に発見され得ることを今一度認識し、適切なアクセス管理がなされているかを確認してください」と注意喚起を呼びかけている。
