東京電機大学、Boxの設定ミスで学内システム情報等が誰でも参照可能な状態に。

東京電機大学が利用するBoXで認証用証明書等が誰でも参照可能になっていた

 日本国内でもクラウドストレージ利用の増加に比例して「設定ミス」による意図せぬ情報漏えい事故が目立ってきている。

 筆者がインターネット上に公開されているデータを調査していたところ、東京電機大学が利用するBoxにて「共有フォルダ」に対するアクセス権限の誤った設定によって、学内にアクセスするための「証明書」や、Boxの初期設定に関する情報が誰でも参照可能な状態になっていたことがわかった。

 なお、筆者が本件を発見し東京電機大学のTDU-CSIRTに報告した所、問題は修正され、既に本事象は解決している。

■情報システムに関する資料公開のリスク

 誤って公開されていたフォルダには、以下のような情報が保存されていた。

 ・遠隔授業に関するアンケート結果

 ・Box利用手順書

 ・Box二要素認証操作マニュアル

 ・Web認証用証明書のインストール手順

 ・Web認証用証明書

 ※個人情報や経営情報といった一般的に「機密情報」に分類される情報は保存されていなかった。

公開されていたWeb認証用証明書のインストール手順書。証明書へのリンクも貼られており証明書も参照可能であった。
公開されていたWeb認証用証明書のインストール手順書。証明書へのリンクも貼られており証明書も参照可能であった。

 主に東京電機大学で導入している情報システムに関する利用手順が公開されていた。恐らくは、Box等の初期設定を行っていない利用者の利便性を考慮し、ゲストユーザーでも参照出来るようにしていたのではないかと推測されるが、公開されていたドキュメントの中にはロケーションによる認証方式の違いや、パスワードの初期設定方法、利用しているセキュリティツール名等が記載されていたため、悪意のあるサイバー攻撃者が本ドキュメントにアクセスしていたなら、東京電機大学に不正侵入するための大きなヒントを与えることになっていただろう。

■TDU-CSIRTの対応能力

 筆者がこの問題を発見し、東京電機大学のTDU-CSIRTに事象を報告した所、約1時間30分後に返信を受け、そこから約1時間程経過した際にはアクセス権限が修正されていた。

 18時を過ぎたタイミングで報告を受け、そこから約3時間程で事象が改善された。軽微な設定ミスとはいえ、既存で動作しているサービスの設定変更には内部調整に時間がかかることもあるため、TDU-CSIRTの対応は非常にスピーディーな対応だったと言える。

■共有リンク利用のリスク

 東京電機大学はBoxの共有機能でる「共有リンク」を利用していたものと推測される。これは、社内や社外のユーザとファイルやフォルダを簡単に共有出来る便利な機能である。

 しかし、適切にアクセス権限を設定していなければ、認証不要、つまりBoxにログインしていない「ゲストユーザー」でもファイルやフォルダを参照出来てしまう。

 「共有リンクを知っている人だけがアクセス出来るから大丈夫」と思う人も多いかもしれないが、逆に言えばそのリンクを何らかの手段で知られてしまうと、第三者でも容易に参照可能になるリスクがある。

 「共有リンク」を利用する場合にはアクセス権限やパスワード、有効期限等を設定することを推奨する。