産総研を襲った謎の手口、セキュリティ対策に新たな教訓

「電子メールのセキュリティを高める一定の対策をしており、今回のような不正侵入が起こるとは想定できていなかった」――。 産業技術総合研究所（AIST）は2018年7月20日、2018年2月に発覚した電子メールなどへの不正アクセス事件の調査結果を公表した。調査を担当した環境安全本部長を務める島田広道理事は説明会見で冒頭のように語り、ショックを隠さなかった。 今回の不正アクセス事件で攻撃者が執拗に狙ったのが電子メールだった。産総研は米マイクロソフトが提供するクラウド型の電子メールサービス「Office 365」を採用している。攻撃者からログイン用IDを容易に類推できないよう、メールアドレスとは異なる複雑な文字列を管理者が発行する方式を採っていた。 にも関わらず、攻撃者は本格的な攻撃開始から2カ月あまりで100人分もの電子メールアカウントへの不正ログインに成功。最終的に143人のアカウントに不正に

[pismo]

ブルートフォース攻撃と言うよりは辞書攻撃かな？あと、内部LANは1セグメントで運用していたのかな？ダメダメな印象を受けたけど…

[stealthinu]

内容読むとスピア型攻撃防ぐのはほぼ不可能だな…という印象しか。クローズドなプロダクトのCIで自動更新してくやつにこっそりソース埋め込むとかなるほどだわな。

[pontaboxz]

ハナからずれているよ。対策をどれだけ取ったとしても、セキュリティ侵害・事故は起こり得る前提でいなければいけない。起こるはずがないと思考停止したがために、実際に侵害を受けたら迅速に動けなくなる。

[koyancya]

こんな風になってるところは山ほどあるんだろうな -> "不正侵入された143のアカウントは、キーボード配列を一定のルールでひと続きになぞるような脆弱なパスワードを用いていたケースが大半だったという"

[gogatsu26]

ひょっとして中の人が

[spiral]

対応がパスワード複雑化ってのはいただけない....

[csal8040]

「ログインIDをメールアドレスとは全く異なる文字列にする」というセキュリティ対策…しかし今回の攻撃者は、何らかの方法を使ってこの対策を無力化することに成功した。電子メールのセキュリティ対策に重要な教訓を