NTT西日本子会社の大規模情報漏えいについてホワイトハッカーが問題点や対策を考えてみた。

2023年10月にNTT西日本の子会社NTTマーケティングアクトProCXで大規模なデータ漏えいが発生していた事が発覚しました。

今回は、この大規模なデータ漏えい事件についてホワイトハッカーの目線でお話をしていきたいと思います。

1.NTTマーケティングアクトProCXの情報漏えい事件の概要

まず、当該事件について簡単にまとめてみましょう。

まず、関連企業について確認します。NTTマーケティングアクトProCXはコールセンターシステムを提供しており、このシステムの運用保守業務をNTTビジネスソリューションズが担当しています。

同システムの運用保守業務従事者(NTTビジネスソリューションズに派遣された元派遣社員)がお客様情報を不正に持ち出しを行い、第三者に流出させていました。

不正行為を行っていた元派遣社員はNTTビジネスソリューションズに2008年6月より派遣されていました。 

①不正に持ち出された情報件数

お客様数:約900万件
クライアント数:59
(2023年11月8日現在)

②内部不正発生時期

NTTビジネスソリューションズとNTTマーケティングアクトProCX、2社の調査によると不正に持ち出されたファイルの更新日付より2013年7月から2023年1月までの約10年分の情報が持ち出された可能性が高いとされています。

③事件発覚の経緯

2022年1月以降にコールセンターの業務委託をしていた山田養蜂場に対して山田養蜂場の顧客4名から「他社から勧誘の電話がかかってくる」との問い合わせが発生しました。その為、山田養蜂場はNTTマーケティングアクトProCXに対して自社の顧客情報が漏えいしている可能性があるのではないかと調査依頼を行いました。しかし、NTTマーケティングアクトProCX、NTTビジネスソリューションズの2社の社内調査では「流出の可能性はなし」との調査結果の返答がありました。

山田養蜂場は同時に岡山県警にも被害相談を行っており、その後のNTTビジネスソリューションズに対する不正競争防止法違反容疑による警察の捜査が実施され、元派遣社員が使用していたPCが押収され、情報の漏えいが発覚しました。

2.被害状況について

漏えい件数:約900万件
漏えいした組織数:59組織(2023年11月8日時点)


 

①情報の持ち出し方法

顧客データはNTTビジネスソリューションズのデータセンター内のコールセンターシステム上に保管されており、元派遣社員は自身の所有していた管理者アカウントを悪用して保守経路を通じてデータが保管されていたサーバーに接続し、保守運用端末にデータコピーを行っていたと見られる。コピーしたデータはUSBを用いて外部に持ち出しを行っていました。

コピーして持ち出しをした情報の一部は元派遣社員によって名簿業者に販売されている可能性があります。

②被害が報告された組織一覧

これまで(2023年11月8日)に情報漏えいの被害が確認されている組織は59です。簡単に被害組織と内容を確認しましょう。

・山田養蜂場
約400万件の情報漏えい。氏名、住所、電話番号、生年月日、性別。

・NTT西日本
約120万件の情報漏えい。氏名、住所、電話番号、生年月日。

・キューサイ
約46万件の情報漏えい。氏名、住所、電話番号、生年月日、年齢、郵便番号、顧客番号、商品購入履歴

・森永乳業
約34万件の情報漏えい。氏名、住所、電話番号、郵便番号

・日本メディアシステム
約23万件の情報漏えい。氏名、住所、電話番号、代表者名、契約プラン、通信会社名、プロバイダ名等

・NTTドコモ
約7.2万件の情報漏えい。
アウトバウンドテレマ業務関連(氏名、電話番号、携帯番号、郵便番号、契約者住所、契約者性別)
スマホ・光乗り換えサポート事務局関連(氏名、電話番号、郵便番号、契約者住所、プロバイダ名)
ひかりTVチューナー設置業務(氏名、電話番号、郵便番号、設置住所、チューナー機種名、ISP-ID、ユーザーID)

・ソニーネットワークコミュニケーションズ
約14万件の情報漏えい。氏名、住所、電話番号、生年月日、メールアドレス

・ニフティ
約4万件の情報漏えい。氏名、住所、電話番号

・WOWOW
約4万件の情報漏えい。氏名、住所、電話番号、生年月日、電話番号、性別

・日本学生支援機構
約8万件の情報漏えい。氏名、住所、電話番号、生年月日、郵便番号

・地方自治体
東京都足立区、町田市
千葉県千葉市
静岡県富士市、浜松市、焼津市
福岡県
愛知県半田市、小牧市、豊橋市、瀬戸市、あま市、みよし市、稲沢市
大阪府堺市、岸和田市、河内長野市、豊中市
三重県
奈良県橿原市
石川県加賀市、能美市
福井県福井市、鯖江市
富山県氷見市、射水市
徳島県鳴門市
沖縄県

各地方都市の氏名、住所、電話番号、年齢、性生年月日、郵便番号、世帯主名など。
福岡県では自動車税に関する納税者情報も漏えい。

3.なぜ情報漏えいが発生したのか

今回の大規模な情報漏えいが発生した原因はどこにあるのでしょうか。
今回の情報漏えいには様々の原因がいくつも重なり長期間・大規模化したと言えるでしょう。
では、その原因を簡単に確認していきましょう。

原因①保守経路から顧客データがダウンロード出来た事

今回この情報漏えいが発生しえた原因の根本は、顧客データに対して無差別にアクセスでき、ダウンロードが出来るという点があります。

システム的にサーバーからデータをダウンロード出来ないような保護をかけていないという事は問題でしょう。

原因②保守端末でUSBの利用が可能である事

次の原因としてはデータの持ち出し手段としてUSBを端末で使用出来たという事です。

NTTビジネスソリューションズの規定によるとUSBの使用を制限するが存在していました。

しかし、このルールは性善説的なルールになっており、技術的な対策は何も施されていなかったという杜撰な対策、形骸化したルールであり、全く機能していなかったと言えるでしょう。

原因③適切な振る舞い検知が出来ていなかった

データのコピーや端末からのUSBへの書き込み等が発生した際にはその振る舞いを検知し、システム的に拒否する必要があります。

この振る舞い検知システムを適切に運用出来る体制が出来ていなかったと言えるでしょう。

原因④ログの確認不足

今回の情報漏えいの期間が長期に渡って行われていた原因としてはログの確認不足が挙げられるでしょう。定期的にログの確認を行っていればすぐにデータのコピーやUSBへの書き出しは発見出来たはずです。

また、ログに関してはNTTビジネスソリューションズ・NTTマーケティングアクトの2社の調査の際に「情報漏えいの可能性なし」という調査結果が出ていることから、適切に採取・保存がなされていないことが伺えます。

4.ホワイトハッカーが対策方法を考える

今回の情報漏えいについてホワイトハッカーの目線で対策方法を考えていきます。

対策①データベースへのアクセス制限

今回の情報漏えいの根本の原因はデータベースへアクセスが出来、そこからデータをコピー出来る状態にあったという点にあります。

この問題への対策としてはデータベースへのアクセス制限やコピーの制限を行う事が挙げられます。

管理者アカウントの個別付与やアクセスレベルの策定などを細かく行い、厳しく制限する事が必要でしょう。

この対策は内部不正に対する対策ではなく不正アクセス対策にもなるので一石二鳥でしょう。

対策②監視体制の構築

今回のような内部不正による情報漏えいが発生した組織の多くが監視体制が不十分と言わざるを得ない状態にあります。今回の情報漏えいの事件でも内部の監視体制が不十分である部分が散見されました。

今回の事例の監視体制の不備は、振る舞い検知の不備とログの監視不足でしょう。

内部不正に対して有効な振る舞い検知の方法は、①普段データを利用しない端末(アカウント)からのアクセスを不正な振る舞いとして検知するものと、②普段からデータを利用する端末(アカウント)であっても通常以上のデータのダウンロードが行われた際には不正な振る舞いとして検知する方法が挙げられます。この振る舞い検知は内部不正だけでなく、マルウェア対策、不正アクセス対策にも裕応な手段と言えます

次にログの監視不足に対する対策としては、振る舞い検知をすり抜けた不正行為を早期に発見するためにログの監視は欠かせません。ログの監視はログの監視ソフトを利用することで監視をすることが出来ます。様々なログ監視ツールがあるため組織にあったソフトウェアを導入し、適切に運用していき体制を構築することが重要になるでしょう。また、監視だけではなくログの保全も行い、インシデントが発生した後の原因究明や証拠保全といった事後対策も行う必要があるでしょう。今回の事例ではログの保全が出来ていなかった為、自社調査の際に「情報漏えいの可能性なし」という結果になり、事件発覚が遅れた原因になったと言えるでしょう。

対策③社内ルールの策定と見直し

今回の事例での社内ルールに関わる部分としてはUSBの利用ルールでしょう。USBの利用に関しては多くの組織で様々なルール・管理方法が策定されているかと思います。完全利用禁止や制限付きでの利用許可様々かと思います。

しかし、そのルール・管理方法は最新の労働環境に合致しているでしょうか?

新型コロナウイルスの拡大などによってリモートワークなども増え、情報を外に持ち出す機会も増えています。最新のシステムの利用方法に合致したルールを策定・見直しを随時行っていく必要があるでしょう。

USBの取り扱い以外にもクラウドの利用方法やメールの取り扱いなど様々なルールの策定を細かく行い、そのルールが実行出来る環境・体制を組織全体で構築していく事が重要です。

5.まとめ

今回はNTTマーケティングアクトProCXにて発生した大規模情報漏えいについて考えました。

今回のような事例はどの組織でも起きうる事例です。

実施に過去にソフトバンクやSMBCなどでも発生しています。このような内部不正による情報漏えいは不正アクセスによる情報漏えいよりも発見が困難であり、大規模になりやすい傾向があります。

その原因としては不正を検知する体制が整っていない事が挙げられます。逆に言えば検知する体制が整っていれば早期に発見でき情報漏えいを抑える事が出来ます。最近はランサムウェア対策や不正アクセス対策として外からの不正の検知の体制を整えている組織は多いです。ですが、内部の不正の検知の体制はまだまだ進んでいない様に思います。今回のインシデントを機に自組織の内部不正対策が適切に行われているか再確認してみてはいかかでしょうか?

内部不正防止のガイドラインはIPA(独立行政法人情報処理推進機構)から発行されています。このガイドラインを参考にして内部不正対策を行うのも良いでしょう。

https://www.ipa.go.jp/security/guide/insider.html

また、現在の対策・ルールなどが適切であるかの評価をする為に外部の視点を入れるのも良いでしょう。そのようなサービスは弊社でも情報セキュリティ監査の一環として行っていますので、ご相談ください。

情報セキュリティコンサルティング

関連記事
元ソフトバンク社員の機密情報持ち出しから考える内部不正対策 【意外と多い内部不正による情報流出】

他人事じゃない!!三井住友銀行(SMBC)のソースコード流出から考える情報モラルや社内の規則の大切さ!