>第一報についてはこちらを確認ください
>第二報についてはこちらを確認ください
>第三報についてはこちらを確認ください
SBテクノロジー(以下、当社)は、当社が構築および管理を行う自治体情報セキュリティクラウドのメール中継システムにおいて、2022年3月18日に発生した障害対応メンテナンス時の設定変更不備による不正中継(以下、本事象)につきまして、再発防止策を実施してまいりました。この度、現状の報告および現在実施している再発防止策について具体的な実施状況をご報告できることとなりましたので、お知らせいたします。
本事象において、お客様をはじめ多くの関係者の皆様に多大なるご心配とご迷惑おかけしておりますことを、深くお詫び申し上げます。
1.現状の報告
下記3点について経過観察を進めておりましたが、本事象を起因とする事象の再発は起きておりません。
①不正中継が可能な状態について
3月18日18時55分に対応した設定変更不備の修正により解消しました。その後、第三者による不正中継メールの送信および不正中継可能な状態の再発は起きておりません。
②不正メール送信における被害報告について
3月18日15時58分の緊急メンテナンス設定不備により不正メールが送信されましたが、本日時点において被害に関する報告は受けておりません。
③受信拒否リストの登録について
3月20日20時07分に主要な受信拒否リストの解除を確認し、業務上必要なメールアドレスへの送信が可能となりました。その後、3月18日に発生した受信拒否リスト登録に起因するメール不通は確認されておりません。
2.原因
メール中継システムにおいてACL(通信を制御するためのリスト)のメンテナンスを実施した際、この設定に不備があり不正中継が可能な状態となりました。
本来、設定変更し有効化を行う際は、設定を実施した作業者と別の確認者が変更内容に問題がないか二重チェックを行うことになっています。しかし、今回の緊急メンテナンスにおいては、二重チェックが不十分なものとなり、不正中継を許す結果となりました。
また、設定変更後の不正中継テストを実施していなかったため、早期発見をすることができませんでした。
3.再発防止策について
当社は、本事象の発生以降、二重チェックの徹底およびチェックツールを用いた不正中継監視を実施してまいりました。具体的には以下の再発防止策を行っております。
・二重チェックの徹底
<通常時のフロー>
運用保守作業管理手順に基づき、機器・サービスの運用保守作業対応時は、必ず作業者と確認者の2名体制で実施します。実施する作業内容によっては、専門的な技術を持つ担当者が作業に立ち会うものとします(専門の担当者の要否については作業手順書作成時に定めます)。作業内容は、事前に作成した作業手順書に従い、作業前に作業者と確認者で実施内容を読み合わせの上、実施します。
作業実施中は、作業画面を共有し、指差し・声だしによる確認を行いながら作業を実施します。そのエビデンスとして操作画面および音声を録画・録音し保存します。確認者は、作業手順書通りに実施されていることおよびエビデンスが保存されていることを確認します。作業完了後、作業者は録画・録音データ等の情報を所定のフォルダに提出します。
これらの作業が手順書通りに実施されていることを担保するために、監査者による作業実施状況の監査を行います。監査者は、保管された情報をもとに監査を行い、作業監査結果を作業責任者へ報告します。
<緊急時のフロー>
障害発生時など緊急作業が必要な場合は、作業手順書の作成を短縮し専門的な技術を持つ担当者の立会いのもと、復旧対応を優先します。作業内容について、作業者、確認者、専門的な技術を持つ担当者で確認を行い、作業内容について作業手順書を作成します。
障害対応完了後に改めて、障害対応で設定変更を行った内容や設定変更後の動作に異常が無いか確認を実施します。確認作業については、事前に作業手順書を作成し、作業手順書通りに作業を実施します。
・チェックツールを用いた不正中継監視
不正中継チェックツールを用いて、メール中継システムに対し一定の間隔で監視を行います。不正中継が可能な状態であることを検知した場合は、当社NOC(ネットワークオぺレーションセンター)が24時間365日体制で、即時に対応します。
当社では、今後もお客様が安心してサービスをご利用いただけるよう、品質向上の取り組みを進めてまいります。
本件に関する問い合わせ先
●SBテクノロジー株式会社 コーポレートコミュニケーショングループ 吉田、馬場
E-mail:sbt-pr@tech.softbank.co.jp
Tel : 03-6892-3063 (平日9:00~17:45)
