2021年5月、富士通株式会社が提供するクラウド型プロジェクト管理ツール「ProjectWEB」が不正アクセスを受け、内閣サイバーセキュリティセンター(NISC)・国土交通省・外務省・成田国際空港会社など、日本政府・重要インフラ組織を含む最終的に142の顧客組織の情報が漏洩した。侵入者は正規のIDとパスワードを使って静かに侵入し、長期間にわたって複数組織の機密プロジェクト情報を収集していた。「SaaSツール1本を押さえるだけで、そのツールを使う全顧客に横展開できる」というサプライチェーン攻撃の本質を体現した事案であり、日本政府機関のデジタルセキュリティを根底から問い直す契機となった。
組織概要
富士通株式会社は東証プライム上場の日本最大手ICTサービス企業で、連結売上高は約3.6兆円(2021年度)、国内外に約12万人の従業員を抱える。政府系システム・金融・製造・通信など各業種に対して、クラウド・SI・コンサルティングを包括的に提供しており、多くの省庁・自治体・重要インフラ事業者との取引関係を持つ。今回問題となった「ProjectWEB」は、富士通が提供するSaaS型のプロジェクト情報共有ツールで、工程管理・課題管理・打合せ記録・ファイル共有などの機能を持ち、主に富士通との共同プロジェクト運営において顧客側もアクセスする形で利用されていた。
何が起きたのか
タイムライン
- 2021年5月6日:富士通がProjectWEBへの不正アクセスの形跡を確認。調査開始。
- 2021年5月14日:富士通が国土交通省に対して不正アクセスの事実と情報漏洩の可能性を報告。
- 2021年5月17日:富士通が成田国際空港会社(NAA)に報告。
- 2021年5月20日:成田国際空港会社が被害を公表(富士通の公式発表に先立つ)。
- 2021年5月24日:内閣サイバーセキュリティセンター(NISC)が政府機関・重要インフラ事業者に対してProjectWEB関連の確認を求める注意喚起を発出。
- 2021年5月25日:富士通が公式発表。同日、ProjectWEBのサービスを停止(運用終了)。
- 2021年5月下旬〜6月:外務省・経済産業省・総務省・出入国在留管理庁・国立印刷局・警察庁など複数の省庁・機関での情報漏洩が順次判明。
- 2021年10月1日:富士通が専任CISOを任命し、セキュリティ管理体制を強化。
- 2021年12月9日:富士通がProjectWEBの後継ツール移行計画(Microsoft/Box組み合わせ)を発表。
- 2022年3月7日:富士通が最終調査報告を公表。被害確認組織数は142組織(当初の報告からさらに拡大)。国交省では7.6万件以上の情報が流出していたことが判明。
攻撃経路の分析
初期侵入:正規の認証情報による静かな侵入(確認済み)
富士通の調査によると、攻撃者はProjectWEBに対して正規のIDとパスワードを使ってログインした。これは典型的な「パスワードスタッフィング(クレデンシャルスタッフィング)」または「フィッシングによる認証情報盗取」後の正規アクセスだ。通常の業務利用と区別がつかない認証ログを残すため、検知が極めて困難だった。
具体的にどのような手口で認証情報を入手したかは公表されていない。攻撃者が事前に標的を絞り込み、特定のProjectWEBアカウント情報を何らかの手段(フィッシング・過去の漏洩リスト・ソーシャルエンジニアリング等)で入手した可能性がある。
権限昇格:複数の脆弱性悪用(一部確認済み)
富士通は「ProjectWEBに数種類の脆弱性が存在することが確認された」と公表しているが、具体的な脆弱性の種類・CVE番号は開示していない。攻撃者はこの脆弱性を利用して通常ユーザーが参照できない範囲の情報へアクセスしたり、他のプロジェクト・顧客の領域に横断できる状態になった可能性がある。複数の顧客組織に及んだ被害の広がりから、ProjectWEB内部でのテナント間分離の不備(マルチテナント設計上の欠陥)があったことが疑われる。
横展開:SaaSの特性を活かした多組織侵害
今回の攻撃が特筆される点は、1つのSaaSサービスを制圧することで、そのサービスを使用する複数の顧客組織を同時に侵害できたという構造だ。ProjectWEBは富士通が管理する共有基盤上で動作しており、顧客組織は個別にシステムを持っていない。このSaaS型の集中管理構造が、横展開を「ほぼ自動」にした。
情報収集:プロジェクト関連文書の大量取得
攻撃者が取得した情報は、システム構成機器情報・プロジェクト体制図・打合せメモ・進捗管理資料・運航情報管理システム関連資料(成田空港)など、プロジェクト運営の内側に関わる機密性の高い文書だ。国土交通省においては氏名・メールアドレス含む7.6万件以上の情報流出が確認されている。
攻撃グループ
攻撃グループは公式には特定・公表されていない。政府機関・重要インフラを複数同時に標的としたこと、事前に特定組織のProjectWEBアカウントを把握していたとみられることから、国家支援を受けた高度持続型脅威(APT)の関与を指摘する見方もある。ただしこれは確認情報ではなく推測の域を出ない。
被害内容
被害を受けた主な組織(確認済み)
- 内閣サイバーセキュリティセンター(NISC):プロジェクト関連情報・職員メールアドレス等
- 内閣官房:プロジェクト関連情報
- 国土交通省:職員氏名・メールアドレス等 7.6万件以上
- 外務省:プロジェクト関連情報
- 経済産業省:プロジェクト関連情報
- 総務省・出入国在留管理庁・国立印刷局・警察庁:プロジェクト関連情報
- 成田国際空港会社:運航情報管理システムに関する機密資料(空港セキュリティ上の重大情報を含む可能性)
- その他民間企業:最終的に合計142組織
漏洩した情報の内容
- システム構成機器情報(ハードウェア構成・ネットワーク構成等)
- プロジェクト体制図・担当者情報
- 打合せ記録・議事録
- 進捗管理資料・課題管理表
- 職員氏名・メールアドレス等の個人情報
- 運航情報管理システム関連資料(成田空港)
システム停止と対応
富士通は2021年5月25日をもってProjectWEBのサービスを即時停止した。このサービスを利用していた顧客は代替手段への切り替えを余儀なくされ、進行中のプロジェクト運営に一時的な混乱が生じた。富士通自身の事業継続への影響に加え、顧客組織の行政・業務コストも発生した。
なぜ被害が拡大したのか
1. SaaSの「集中管理=集中リスク」という構造
SaaS型ツールの最大のリスクは、1つのサービスが侵害されれば、そのサービスを利用するすべての顧客が被害を受ける可能性があるという点だ。オンプレミス(自社サーバー)なら1社の侵害で済むところ、SaaSでは1サービスの侵害が何十・何百もの顧客組織に連鎖する。ProjectWEBは富士通グループが共通管理するプラットフォームであり、テナント間の分離設計が不十分であった可能性が、被害の広がりを説明する。
2. 正規の認証情報による侵入は検知が困難
マルウェアの感染・既知の攻撃ツールの実行であれば、EDRやSIEMで検知できる可能性がある。しかし正規のIDとパスワードを使ったログインは、業務利用と攻撃を区別するシグナルが少ない。異常なアクセス時間・アクセス元IP・取得データ量などの行動分析(UEBA)でしか検知できない。ProjectWEBにそのような監視機構があったかどうかは公表されていないが、不正アクセスが長期間継続していたとすれば不十分だった可能性がある。
3. 発覚の遅延——顧客への報告が最大で半月後
富士通が不正アクセス形跡を確認したのは5月6日だが、最初の顧客(国交省)への報告は5月14日(8日後)、成田空港は5月17日(11日後)だ。複数の組織への影響確認と個別連絡に時間を要したことは理解できるが、一般公表は成田空港が先行(5月20日)し、富士通の公式発表はその5日後(5月25日)だった。この発覚から公表までのギャップが批判を招いた。
4. 政府機関が同一ベンダーのSaaSに集中していた
NISC・複数の中央省庁・重要インフラが同一のSaaSツールを使用していたことで、1サービスの侵害が「政府全体の情報安全保障問題」に発展した。ベンダー集中リスク(シングルベンダー依存)の典型的な弊害だ。
同様の攻撃を防ぐ方法
SaaSサービスの導入前評価
- SaaSを採用する前に、そのサービスのSOC 2 Type IIレポート・ISO 27001認証・ペネトレーションテスト実施状況を確認する
- マルチテナント構造のSaaSの場合、テナント間のデータ分離設計について技術的な確認をベンダーに求める
- SaaSベンダーのインシデント発生時の通知タイムライン・対応SLAを契約に明記する
SaaSアカウントの認証強化
- SaaSサービスのすべてのアカウントにMFA(多要素認証)を必須化する——正規の認証情報が盗まれても、MFAがあれば侵入を防げた可能性がある
- SSOと組み合わせたアクセス管理を行い、退職者・異動者のアカウントが即座に無効化される運用を確立する
- SaaSへのアクセスを特定のIPアドレス(社内ネットワーク・VPN出口)に制限するIP制限を設定する
SaaSのアクセスログ監視
- SaaSベンダーが提供するアクセスログ(いつ・誰が・どのデータにアクセスしたか)を取得し、SIEMや外部のストレージに保存する
- 通常業務時間外のアクセス・大量のファイルダウンロード・普段と異なるIPからのアクセス等をアラートとして設定する
- CASB(Cloud Access Security Broker)を導入し、SaaS利用の可視化と異常検知を行う
機密情報のSaaS保存ルールを設定する
- SaaSに保存する情報の機密分類を定め、「極秘・機密」クラスの情報はSaaSではなくオンプレミス管理システムに限定する
- システム構成情報・ネットワーク設計書・契約情報など攻撃者が特に有用とする「インフラ系機密情報」のSaaS保存を禁止するポリシーを整備する
ベンダー集中リスクの管理
- 同一ベンダーが提供するSaaS・クラウドサービスに機密情報が集中しすぎていないか、年1回以上のベンダー依存度評価を行う
- 特に政府・重要インフラ組織では、特定ベンダーへの依存を分散させるマルチベンダー戦略を政策として明示する
情シス担当者が確認すべき項目
- 社内で利用しているSaaS・クラウドサービスの一覧を把握しているか(「シャドーIT」の洗い出しも含む)
- 各SaaSのアカウントにMFAが設定されているか。特に外部ベンダーとの共同利用SaaSを確認する
- SaaSへのアクセスにIP制限がかかっているか。制限がない場合、侵入者は世界中のどこからでもアクセスできる
- SaaSのアクセスログを取得・保存しているか。「何か起きたとき」に調査できる状態か
- SaaSに保存している情報の機密分類が行われているか。「とりあえずクラウドに上げる」文化がないか
- 退職・異動した社員のSaaSアカウントが即日無効化されているか。残存アカウントは攻撃者の入口になる
- 主要SaaSベンダーのセキュリティ情報(SOC 2レポート・ペネトレーションテスト報告書)を確認したことがあるか
- 利用しているSaaSがインシデントを起こした場合の通知・対応フローがベンダー契約に含まれているか
- SaaSに保存している機密情報のバックアップ(ベンダー依存でない形での保管)はあるか
- NISCや経産省のガイドライン「政府情報システムにおけるクラウドサービス利用ガイドライン」を参照しているか
類似事例
- SolarWinds Orion(米国、2020年12月):ITインフラ監視ツールSolarWindsのアップデート機能が汚染され、米国政府機関・Microsoft・FireEye等18,000以上の組織にバックドアが配布された。「ツール自体のサプライチェーン汚染」という点でProjectWEBと構造が共通する。富士通事案がアカウント侵害型、SolarWindsがアップデート機能汚染型という違いはあるが、「1つのベンダーツールの侵害→多数の顧客組織への波及」という連鎖は同じだ。
- MOVEit Transfer(米国・国際、2023年):ファイル転送サービスMOVEitのゼロデイ脆弱性(CVE-2023-34362)を悪用し、CL0Pランサムウェアグループが世界1,000以上の組織のデータを窃取。米国政府機関・英国BBCを含む多数組織が被害を受けた。「SaaSツールの脆弱性→多数の顧客情報流出」というパターンがProjectWEBと共通する。
- NTTコミュニケーションズへの不正アクセス(日本、2020年):NTTコムが攻撃を受け、外部ネットワーク基盤上の顧客情報が流出した可能性がある事案。富士通ProjectWEB事案と同様に、大手ICTベンダーが攻撃を受けることでその顧客である企業・政府機関の情報が二次被害を受けるという「ICTサプライチェーン攻撃」の構造を示す。
参考情報
- 富士通株式会社「プロジェクト情報共有ツールへの不正アクセスについて」(2021年5月25日)
- 国土交通省「情報漏えいの可能性について」(2021年5月25日)
- 内閣サイバーセキュリティセンター(NISC)注意喚起(2021年5月24日)
- piyolog「富士通のプロジェクト情報共有ツールProjectWEBへの不正アクセスについてまとめてみた」(2021年5月26日)
- 日経クロステック「富士通『ProjectWEB』への不正アクセス、129顧客の情報流出判明」(2021年8月)
- 日経クロステック「富士通『ProjectWEB』は脆弱性を悪用され情報流出か、被害企業・機関は計129に」(2021年8月)
- 日経クロステック「経産省と外務省でも情報流出、富士通『ProjectWEB』への不正アクセス問題」(2021年5月)