【ITニュース解説】設定ミス突く攻撃、顧客DB消去される - 兵庫県内の保険代理店
2025年09月09日に「セキュリティNEXT」が公開したITニュース「設定ミス突く攻撃、顧客DB消去される - 兵庫県内の保険代理店」について初心者にもわかりやすいように丁寧に解説しています。
ITニュース概要
兵庫県の保険代理店で、サーバの設定ミスを突くサイバー攻撃が発生し、顧客データベースが削除された。外部からアクセス可能な状態になっていたことが原因とみられる。適切なアクセス制御など、基本的なセキュリティ設定の重要性を示す事例だ。
ITニュース解説
兵庫県にある保険代理店、ミツワ保険サービスにおいて、第三者によるサイバー攻撃を受け、社内サーバに保管されていた顧客データベースが削除されるという深刻なインシデントが発生した。この事件は、システムを運用管理する上で、基本的なセキュリティ設定がいかに重要であるかを改めて示す教訓的な事例である。幸いにも同社はバックアップデータから復旧できたが、一歩間違えれば事業の継続が困難になるほどの大きな被害につながる可能性があった。今回はこの事件を題材に、攻撃の原因となった設定ミスや攻撃者の手口、そしてシステムエンジニアとして学ぶべき対策について詳しく解説する。
事件の根本的な原因は、同社が利用していたクラウドサーバの「設定ミス」にあった。具体的には、サーバを遠隔操作するための「リモートデスクトップ接続(RDP)」のポートが、インターネット上の誰からでもアクセスできる状態で公開されていたことだ。まず、クラウドサーバとは、自社で物理的なサーバ機器を保有・管理するのではなく、インターネット経由で提供される仮想的なサーバを利用するサービスのことである。手軽に利用できる反面、利用者がセキュリティ設定の責任を負う部分も多い。次に、リモートデスクトップ接続(RDP)とは、主にWindowsサーバなどで利用される機能で、遠隔地にあるコンピュータのデスクトップ画面を手元の端末に呼び出し、あたかも目の前にあるかのように操作するための仕組みである。管理者がサーバメンテナンスを行う際などに非常に便利な機能だ。そして「ポート」とは、コンピュータが外部と通信を行う際の窓口や扉のようなもので、サービスごとに特定の番号が割り当てられている。RDPは通常、3389番というポート番号を使用する。今回の事件では、この3389番ポートがインターネット全体に対して開かれた状態、つまり「誰でもノックできる扉」になっていた。これが、攻撃者に侵入経路を与える致命的な設定ミスとなった。
では、攻撃者はこの設定ミスをどのように利用してサーバに侵入したのだろうか。一般的に、このようなケースで用いられる攻撃手法は明確である。まず攻撃者は、「ポートスキャン」と呼ばれる手法で、インターネット上に公開されているサーバの中に、RDPのポート(3389番)が開いているものを無差別に探し出す。これは、街中の家のドアというドアを片っ端から手当たり次第にノックして、鍵のかかっていないドアを探す行為に似ている。脆弱なサーバを発見すると、次に行うのが「ブルートフォース攻撃(総当たり攻撃)」である。これは、サーバにログインするためのIDとパスワードの組み合わせを、プログラムを使って機械的に、かつ大量に試行する攻撃手法だ。例えば、IDとして「Administrator」のような一般的に使われやすいものを固定し、パスワードとして考えられるあらゆる文字列の組み合わせを試していく。もし、パスワードが「password」や「123456」といった単純なものであったり、推測しやすい文字列であったりした場合、比較的短時間で突破されてしまう。今回の事件でも、公開されていたRDPポートに対してブルートフォース攻撃が仕掛けられ、認証を突破された結果、攻撃者はサーバの管理者権限を奪取し、内部へ侵入することに成功したと考えられる。
サーバに侵入した攻撃者は、最終的に顧客情報が格納されたデータベースを削除した。企業にとって顧客データは事業の根幹をなす最も重要な資産の一つであり、その消失はビジネスに致命的な打撃を与える。なぜ攻撃者がデータを盗むのではなく削除したのか、その動機は不明だが、愉快犯的な破壊活動や、後の金銭要求(身代金)を狙った攻撃の前段階であった可能性も否定できない。この壊滅的な状況から同社を救ったのが、データの「バックアップ」である。バックアップとは、万が一の事態に備えて、データやシステムの複製を別の場所に保管しておくことだ。今回、同社は定期的にバックアップを取得していたため、攻撃によって削除されたデータベースを攻撃を受ける前の状態に復元することができた。この事実は、いかに日頃からのバックアップ運用が重要であるかを物語っている。バックアップがなければ、長年かけて蓄積してきた顧客データを完全に失い、事業継続が不可能になっていたかもしれない。
この事件は、システムエンジニアを目指す者にとって多くの教訓を含んでいる。第一に、システムの「要塞化(Hardening)」の基本として、不要なポートは決してインターネットに公開しないという原則を徹底することだ。特にRDPのような強力な管理機能へのアクセスは、原則として公開すべきではない。どうしても外部からのアクセスが必要な場合は、特定のIPアドレスからのみ接続を許可するアクセス制限を設ける、あるいはVPN(Virtual Private Network)と呼ばれる暗号化された安全な通信経路を経由させるなど、厳格な対策を講じる必要がある。第二に、認証の強化である。ブルートフォース攻撃を防ぐためには、推測されにくい複雑なパスワードを設定し、定期的に変更することが基本となる。さらに、IDとパスワードに加えて、SMSや認証アプリなどを用いたワンタイムパスワードを要求する「多要素認証(MFA)」を導入すれば、セキュリティは飛躍的に向上する。第三に、バックアップの重要性の再認識だ。定期的なバックアップはもちろんのこと、そのバックアップデータを使って実際にシステムを復元できるかを確認する「リストアテスト」を定期的に実施することが極めて重要である。バックアップを取ったつもりでも、いざという時にデータが破損していては意味がないからだ。最後に、ログの監視も欠かせない。サーバへのログイン試行の失敗ログなどを常に監視し、ブルートフォース攻撃のような異常なアクセスを早期に検知して、攻撃が成功する前に対処できる体制を整えることが望ましい。この事件は、高度な技術を駆使した攻撃ではなく、ごく基本的なセキュリティ対策の不備を突かれたものである。システムエンジニアには、便利な機能を安全に提供するための、地道で基本的なセキュリティ設定を確実に実行する責任があることを、深く心に刻むべきである。