ニュース キービジュアル

2021年5月11日

より安全にご利用いただけるようになったClassiのご報告と今後の取り組みについて

1.はじめに

 2020年4月(昨年)、当社サービス「Classi」に不正アクセスがあった件に関し、過去一年間、弊社はこれを重く受け止め、お客様に安全にClassiをご利用いただく事を当社事業の最優先事項とし、各種対策を年間を通じ実施してまいりました。

 今年度も、昨年度から継続して、サービスのセキュリティを重視した全社的な対策を実行していく所存でございますので、以下に発生直後の対応、及び今日までに実行いたしましたセキュリティ強化対策を含めて、今後の取り組みについてご報告いたします。

 現在に至るまで同様の不正アクセスは起こっておらず、セキュリティ状況についても外部企業の第三者調査の結果、他社と比較して標準水準以上に強化できていると評価いただいております。また2021年3月のISO/IEC27001に基づく情報セキュリティマネジメントシステム(ISMS)の継続審査 においても、マネジメントシステムが有効に継続されていることが確認されております。

 なお、今回のご報告は、お客様に我々の取り組みをご報告する事によって、新年度を迎えられた学校様が安全にClassi をご利用いただく事を目的としており、セキュリティリスクを高めるものではないため、ご安心ください。今後もお客様に安全にClassiをご利用いただく事を念頭に、引き続きセキュリティ品質向上に一同尽力してまいります。

 

2.本件の概要

 当社サービス Classi に対する、外部の攻撃者による AWS 本番環境への不正侵入と情報窃取

 

3.サービス再開の判断とお客様対応について

(1)サービス再開の判断

 本インシデント発生に際し、まず同様の攻撃を阻止するための対策を即時に実施いたました。その後、外部のセキュリティ専門会社によって「Classi で同様の攻撃は全て阻止可能」という診断がなされたため、親会社のベネッセホールディングスの内部確認を経て、サービスを再開しています。

(2)お客様対応

 攻撃者に窃取されたログイン情報が解析され、お客様の情報が危険にさらされる可能性を鑑み、4月13日(月)にシステムを改修し、ログインパスワードの変更をご案内いたしました。また、5月17日時点でもパスワードの変更がなかったお客様に対し、一律でパスワードの初期化を行いました。ご利用者様にご心配とご負担をお手間をおかけいたしましたことを再度お詫び申し上げます。

 

4.サービス再開以降の対応について

 サービス再開後、技術的対策や社内体制の構築・教育、第三者調査などを実施し、Classiの安全性を確保しています。

 ご利用者様、お取引先様をはじめ、関係各位には、ご心配とご迷惑をおかけいたしましたこと、改めて深くお詫び申し上げます。学校教育に携わる事業者としての責任を再認識し、再発防止に向けた取り組みについて、上記の対応に留まらず広く検討を行い、信頼回復に努めてまいります。

 


 

以下に経緯と対策の詳細をご報告いたします。

1.経緯(検知〜初動対応と外部組織への報告まで)

2020年4月5日(日)
13:30
当社サービスの開発者がフィッシング攻撃を受け、ソースコード管理基盤(以下 GitHub )の認証情報を窃取される。攻撃者は取得した認証情報を利用し、GitHub 上に保存されていた当社サービスのソースコードと、ソースコード内に含まれている開発者権限の クラウド開発プラットフォーム(以下 AWS)用アクセスキー(以下 *AWS アクセスキー)を窃取
*AWSアクセスキー:クラウド開発プラットフォームである AWS で利用する認証情報のうちの一つで、文字列で構成されるアクセスキー ID とシークレットアクセスキーの組み合わせによって認証される仕組みとなっています。

14:06
攻撃者が不正に窃取した AWS アクセスキーを用いて侵入用サーバーを作成

14:44
攻撃者がAWSアクセスキーを用いてデータベースサーバーのパスワードを再設定し、侵入用サーバー経由でデータベースサーバーへ侵入。
データベースサーバーでのパスワード変更によって当社サービスが停止し、サービス障害アラートが発生、社員がインシデントを検知

14:53
攻撃者が社内サービス環境内に不正構築したサーバから外部へ通信を行った*形跡を確認
*送信されたデータ内容の詳細に関して判明できておりませんでしたが、7/4にインターネット上にデータベース内の一部の情報がアップロードされたため、この時に当該情報を外部に持ち出したものと考えます

14:56
当社社員がデータベース障害の復旧を試みたことにより、攻撃者のデータベース接続が遮断

15:55
当社社員がデータベースパスワードの設定を回復

16:10
当社社員によりAWSの監査ログを確認したところ、不審な接続元からの操作が確認されたため外部からの侵入・攻撃があったと判断

16:19
攻撃者に不正利用されたAWSアクセスキーを無効化し、攻撃者が設置した侵入用サーバーを停止

16:48
社内で検討の結果、2次攻撃の可能性を考慮し、安全を確保できるまでの間サービス提供停止を決定したため、当社サービスの全サーバーを停止

18:20
当社でインシデント対策本部立ち上げ

2020年4月6日(月)
02:55
株式会社ベネッセホールディングス情報セキュリティ主管部署に報告

03:11
ソフトバンク株式会社情報セキュリティ主管部署に報告

06:48
株式会社ベネッセホールディングス主管部署よりインシデント報告の確認を受領

07:38
ソフトバンク株式会社主管部署よりインシデント報告の確認を受領

12:00
インシデント対策本部にて、調査と緊急対応の方針確認

14:00
外部のセキュリティ専門会社と調査・対応内容を確認

19:30
当社サービス再開へ向け、社内外の有識者・専門会社と協議した結果、一定の安全確保が行えたと判断しサービスを復旧

【主な外部組織への報告】
・新宿警察署:初回相談4月8日、最終相談7月30日
・経済産業省:初回4月13日、最終7月30日
・個人情報保護委員会:初回4月15日、最終7月30日

 

2.外部漏洩の確認

 2020年7月24日、善意の第三者から「海外の違法情報を取り扱うウェブフォーラム上に当社から漏洩したデータらしきものが掲載されている」との連絡を受けました。外部協力会社の協力のもと、慎重に調査を行った結果、掲載されたデータが2020年4月5日の侵入時に窃取されたものと確認されたため、情報漏洩が確定し、2020年7月30日に当社ホームページにて報告とお客様へのご注意喚起を行いました。なお、同サイトに表示されていました約1000万件という件数は、2020年4月13日に報告いたしました現在Classiをご利用中のお客様の情報122万件に加え、既に失効している既卒生やデモ用、機械的にシステムが発番した現在使われていないアカウント情報約890万件を四捨五入し表現された数値である事を確認しています。また、同データは2020年7月28日にはサイト上から削除されており、現在は掲載されておりません。

 

3.即時対応について

 本インシデントが起こった際、即時対応として(1)フィッシング攻撃への対策、(2)(3)ソースコード内の機微情報の確認・削除、(4)サーバーの管理者パスワードの変更と検知機能導入を実施いたしました。

(1)ソースコード管理基盤(以下 GitHub)への不正侵入に対して
 多要素認証は適用していたものの不審・不正サイトからのアクセスに対する防御不備があり、フィッシングメールによってGitHub内での認証情報の不正取得が起こりました。各種フィッシング対策(ブラウザ・セキュリティ強化、アンチウィルスでの検知強化と、クラウド・セキュリティサービス(CASB)によるフィッシング対策強化)を行って安全な状態にしています。

 原因:不審・不正サイトへのアクセス防護・警告不備
 対策
  1-1:ブラウザ・セキュリティ強化(危険サイトからのお客様とデバイスの保護)
  1-2:アンチウィルスでの検知強化(不審・不正サイト検知&ブロック)
  1-3:クラウド・セキュリティサービス(CASB)によるフィッシング対策強化(フィッシングサイトのアクセス防止機能有効化)

(2)ソースコード内へのAWSアクセスキー の混入に対して
 攻撃者は、上記(1)の通りGitHubにまず不正侵入し、 GitHub内に当社従業員が格納していたソースコードに混入していた個人向けAWSアクセスキーを窃取しました。続いて、窃取したAWSアクセスキーを利用してクラウド開発プラットフォーム(以下AWS)に不正侵入した流れとなっています。これを受け、ソースコード内への 個人向けAWSアクセスキーの混入を排除する対応として、次の点を実施いたしました。

 原因:ソースコード内への個人向けAWSアクセスキーの混入
 対策:ソースコード内に含まれている個人向けAWSアクセスキーの完全削除

(3)AWSアクセスキーの不正利用に対して
 AWS認証情報である AWSアクセスキーに関する管理方式、運用・保守の不備によって、AWSへの不正侵入がありました。これを受け、AWS アクセスキーを保護する対策として、次の3点を実施いたしました。

 原因:AWS アクセスキーの管理方式、運用・保守の不備
 対策
  3-1:不正利用前に払い出された開発者用AWSアクセスキーの停止と再発行
  3-2:サーバー側対策1:サーバーへの付与権限の最小化
  3-3:サーバー側対策2:AWSアクセスキーの更新運用を定期で行なっています。

(4)個人情報格納先(以下、データベース)への不正アクセスに対して
 データベースの管理者パスワード操作権限の管理不備が原因となり、AWSにあるデータベースサーバーの管理者パスワードが攻撃者にリセットされました。対策として、次の2点を実施いたしました。

 原因:クラウド開発プラットフォーム内、データベースサーバーの管理者パスワード操作の権限管理不備
 対策
  4-1:管理者パスワードの変更
  4-2:管理者パスワード変更など重要操作実施時に、該当作業を即時検知する機能導入

 

4.漸次対応(2020年4月以降の追加セキュリティ対策)について

 上記即時対応の他、追加で(1)ソースコード管理の認証機能強化(2)ソースコード内機微情報排除強化(3)クラウド開発プラットフォームの認証機能強化(4)パスワード操作権限の限定の追加対策(5)情報セキュリティマネジメント強化(6)社内体制の構築と従業員への教育を漸次的に行っています。

(1)GitHub内企業リソースへの不正アクセスに対する追加対策
 GitHub 内企業リソースへのアクセス管理不備の追加対策として、次の4点を実施いたしました。

 1-1:ソースコード管理基盤の企業向け上位ライセンス(GitHub Enterprise Cloud)の導入及び、本ライセンスで有効可能なアクセス制限機能、認証連携機能(SAML)の有効化
 1-2:クラウド型統合認証基盤によるソースコード管理基盤との認証統合連携、及び企業リソースに対する追加認証(多要素認証含む)
 1-3:開発者ごとのソースコード権限設定の見直し(閲覧・操作範囲の最小化)
 1-4:クラウド型統合認証基盤とモバイルデバイス管理サービス連携による端末認証の有効化

(2)ソースコード内への機微情報(AWSアクセスキー等)混入防止の追加対策
 ソースコード内に機微情報(AWSアクセスキー等)が混入する事を防ぐ追加対策として、次の2点を実施いたしました。

 2-1:ソースコード管理基盤用の機微情混入防止ソフトウェア(git-secrets)による AWSアクセスキーの機械的検知とソースコード管理基盤内企業リソースへの反映防止
 2-2:ソースコードレビュー:運用設計の見直し

(3)AWS への不正侵入に対する追加対策
 AWSアクセスキーを保護する追加対策として、次の2点を実施いたしました。

 3-1:端末側対策:AWS のクラウド型統合認証基盤(AzureAD)とAWS SSO*機能によるユーザー認証の一元管理
 3-2:AWSアクセスキー対策:セキュア管理アプリケーション(aws-vault)による、AWSアクセスキーの暗号化保管、及び認証情報の時限制限付き利用の強制
 *Single Sign-On機能:シングルサインオン(SSO)は、1組のID・パスワードによる認証を1度行うだけで、複数のWebサービス・クラウドサービス・アプリケーションにログインできるようにする仕組みです。

(4)個人情報格納先(データベース)マスターパスワード不正操作の追加対策
 データベースサーバーの管理者パスワード操作、権限管理不備の追加対策として、次の点を実施いたしました。

 4-1:AWS上の権限を、適切な権限保有者以外は操作禁止にする機能による管理者パスワード変更操作の制御

(5)情報セキュリティマネジメントに関する防止策
 情報セキュリティのマネジメント強化として、以下の2点を行っています。

 5-1:情報セキュリティ管理方式の高度化
 5-2:ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証の取得を計画(2021年4月に初回審査を実施)

(6)社内体制の構築と従業員への教育
 今後このような事象を発生させないため、社内体制の構築と、継続した従業員への教育を行っています。

 6-1:セキュリティ専門家を社内のリーダーに登用し、発見された脆弱性に対する即時対応を原則とした組織編成
 6-2:セキュリティインシデント対応の社内専門チーム(CSIRT:Computer Security Incident Response Team)の構築準備
 6-3:外部セキュリティベンダとのセキュリティ連携強化
 6-4:管理職、開発者、全従業員を対象にしたセキュリティ教育の提供と改善

 なお、セキュリティ対策状態に関しては、2020年10月外部の専門会社に第三者調査を依頼し、セキュリティ対策が他社と比較して標準水準以上に強化できていると診断されております。

 

以上


<本件についてのお問合せ窓口>

■採用校の先生方 「Classiサポートデスク」へお願いいたします。
■生徒・保護者の方 フリーダイヤル:0120-077-309
平日8:00〜19:00 土曜8:00〜17:00 ※日曜祝日、年末・年始を除く
お問い合わせフォーム https://corp.classi.jp/contact/