住基ネットに係る市町村ネットワークの脆弱性調査最終結果概要

 1　この調査について

1-1　目的

この調査は、長野県本人確認情報保護審議会が平成15年5月28日に県に提出した第一次報告において指摘された事項を中心に、インターネット側から市町村の庁内ネットワークを経由した住基ネットシステムへの不正アクセス及び住基ネットシステムからの本人確認情報漏洩の可能性を確認し、有効な対策を講ずるための資料を得ることを目的として行われた。

　1-2　調査方法

1-2-1　概要

調査を企画した時点で、住基ネットが庁内LAN経由でインターネットに接続されている市町村は既に県内にはほとんどなかったため、この調査では内部からの侵入（庁内LANから住基ネットへの侵入）と外部からの侵入（インターネットから庁内LANへの侵入）との2種類の調査を行い、これらの結果を組み合わせることにより住基ネットに対するインターネットからの脅威を明らかにしようとした。

1-2-2　内部からの侵入調査

庁内LANに調査用コンピュータを接続して庁内LAN及び庁内LAN上に存在する各種サーバについての情報を収集し、その情報をもとにサーバの管理者権限奪取を試みた。

管理者権限を奪取した既存住基サーバから既存住基サーバ／CS間の市町村設置ファイアウォールについての情報を収集するとともに、既存住基サーバに偽装した調査用コンピュータによりCSとの通信を試みた。

また、CSセグメントに接続した調査用コンピュータにより、CS及びCS端末についての情報を収集し、既知の脆弱性を利用してCS及びCS端末の管理者権限奪取を試みた。

1-2-3　外部からの侵入調査

遠隔地からインターネットを経由してファイアウォール及びDMZに置かれた公開サーバについての情報を収集し、得られた情報をもとに公開サーバへの侵入を試みた。

1-2-4　留意した事項

この調査は、調査対象自治体において実際に稼働しているコンピュータ・システムに関して行われたため、調査に当たってはコンピュータ・システム及びネットワーク管理に支障が生じないように留意しつつ行われた。

また、不正アクセス行為の禁止等に関する法律への配慮から、全国の都道府県の委託を受けてLASDECが管理している部分、すなわちCSの都道府県ネットワーク方向にあるファイアウォールから上流部分については、今回の調査対象とはしなかった。

2　調査概要

2-1　調査対象、調査環境、調査条件等

　2-1-1　調査対象

2-1-1-1　下伊那郡阿智村

第一次調査を平成15年9月22日から24日まで、第二次調査を同年11月25日から28日まで実施した。第一次調査の調査対象は既存住基サーバ、庁内WEBサーバ、既存住基サーバ／CS間の市町村設置ファイアウォール。第二次調査の調査対象は既存住基サーバ、既存住基サーバ／CS間の市町村設置ファイアウォール、CS及びCS端末。

2-1-1-2　諏訪郡下諏訪町

平成15年9月25・26日に調査を実施した。調査対象は既存住基サーバ、既存住基サーバ／CS間の市町村設置ファイアウォール及びCS。

2-1-1-3　東筑摩郡波田町

平成15年9月29日から10月1日までの間調査を実施した。調査対象はファイアウォール及びDMZに置かれた公開サーバ。

2-1-2　調査環境

2-1-2-1　下伊那郡阿智村

第一次調査では役場サーバ室内のHUB、隣接する施設のLANポート、庁内LANにダイヤルアップで接続されている出先機関のルータに調査用コンピュータを接続して調査した。

第二次調査では、CSが格納されている役場サーバ室内のラックを開錠し、CSセグメントにあるHUBに調査用コンピュータを接続して調査した。

なお、同一セグメントに属するCS端末がラック外にあることから、必ずしもラック内のハブに接続する必要はないが、窓口業務への影響等を考慮してサーバ室で調査を実施したものである。

2-1-2-2　諏訪郡下諏訪町

調査用に構築した無線LANを利用して、町役場に隣接する建物から調査用コンピュータを庁内LANに接続して調査した。

2-1-2-3　東筑摩郡波田町

遠隔地（東京）からインターネットでファイアウォール及びDMZにある公開サーバを調査した。

2-1-3　調査条件

2-1-3-1　下伊那郡阿智村

第一次調査では役場の許可を得てサーバ室、隣接施設及び出先機関において調査を実施した。第二次調査では役場の許可を得てサーバ室のラックを開錠して調査を実施した。

第一次・第二次とも庁内WEBサーバ及び既存住基サーバのIPアドレスについての情報を得ていた。これは、調査に要する時間を短縮するためであり、事前にこの情報がなくても同様の調査は可能である。

なお、CSセグメントに関しての情報はない状態で調査を実施した。

2-1-3-2　諏訪郡下諏訪町

役場の許可を得て無線LANを設置し、隣接した建物内から調査を実施した。

既存住基サーバのIPアドレスについての情報を得ていたが、CSセグメントに関しての情報はない状態で調査を実施した。これは、調査に要する時間を短縮するためであり、事前にこの情報がなくても同様の調査は可能である。

2-1-3-3　東筑摩郡波田町

東京都内からインターネット経由で調査を実施した。調査対象ネットワークIPアドレスについては事前に情報を得ていた。これは、調査に要する時間を短縮するためであり、事前にこの情報がなくても同様の調査は可能である。

2-2　第三者による評価

客観的な第三者の評価により調査結果の信頼性を高めるため、本県の情報化施策推進に関するメンター（助言者）であるとともに総務省住民基本台帳ネットワークシステム調査委員会委員でもある伊藤穰一氏に評価を依頼した。

3　調査結果・発見された脆弱性

　3-1　庁内LANにおける脆弱性

3-1-1　ネットワークの設定

庁内LANへの接続に当たってのユーザ名及びパスワードの設定に問題があり、調査用コンピュータでネットワークに接続することができた。

また、住民が自由に出入りできる施設のLANポートや出先機関のダイヤルアップルータに接続した調査用コンピュータでネットワークに接続することができた。

3-1-2　既存住基サーバ

既存住基サーバの管理者権限のユーザ名及びパスワード設定に問題があり、庁内LANに接続した調査用コンピュータにより管理者権限で正規のユーザになりすましてログオンできた。

この際、データベースのユーザ名及びパスワード設定に問題があったので、データベースの内容を閲覧することができた。

また、既存住基サーバで使用されているOSには既知の脆弱性が存在しており、庁内LANに接続した調査用コンピュータにより、この脆弱性を利用して管理者権限を奪取した。

3-1-3　庁内WEBサーバ

ファイル共有の設定に問題があり、庁内LANに接続した調査用コンピュータから個人情報を含む重要なデータファイルにアクセスすることができた。

庁内WEBサーバが使用しているOSには既知の脆弱性が存在しており、庁内LANに接続した調査用コンピュータにより、この脆弱性を利用して管理者権限を奪取し庁内WEBサーバを支配することができた。

また、不必要なサービスの提供が行われていたほか、OSレベルでのパケットフィルタリングによるアクセス制限も行われていなかった。

3-2　CSセグメントにおける脆弱性

3-2-1　既存住基サーバ／CS間のファイアウォール

不要と思われるポートが開放されているものがあった。今後このポート関連の脆弱性が発見される可能性は否定できない。

なお、ファイアウォールのOSのバージョンが古く、既知の脆弱性を利用した攻撃が行われる可能性がある。

3-2-2　CS

CSが使用しているOSには既知の脆弱性が存在しており、CSセグメントに接続した調査用コンピュータから、この脆弱性を利用して管理者権限を奪取することができた。

この際、CSのデータベースのユーザ名及びパスワードがCS内部のバッチファイルに暗号化されずに記述されていたので、データベースにアクセスできた。

さらに、このデータベース自体も暗号化されていなかったことから、当該自治体住民の住基ネット情報を閲覧することができた。

また、不必要なサービスの提供が行われていたほか、OSレベルでのパケットフィルタリングによるアクセス制限も行われていなかった。

3-2-3　CS端末

CS端末が使用しているOSには既知の脆弱性は存在していなかったが、管理者権限を奪取したCSで得られたデータを利用することにより、CSセグメントに接続した調査用コンピュータから、管理者権限でログオンすることができた。

また、CSセグメントに含まれる機器の大部分は施錠したラック内に格納されているが、CS端末は役場の窓口に設置されているため、ここがCSセグメントへの進入経路となる可能性がある。

3-2-4　アプリケーション

既存住基サーバとCSが通信するために使うと思われるアプリケーションには、脆弱性のある関数が使われている可能性があった。

3-3　インターネット側からの攻撃に関する脆弱性

今回の調査では脆弱性は発見されなかったが、一般にDMZにある公開サーバの管理者権限が奪取された場合、公開されている情報の破壊・改竄が可能なほか、DMZと庁内LANの間のファイアウォールの設定によっては、庁内LAN上に存在するデータも危険にさらされる可能性が存在する。

4　対策

　4-1　庁内LAN関係

4-1-1　ネットワークの設定

不正なログオンを防止するため、パスワードに関するポリシーを確立し、このポリシーに沿ってネットワークを運用する。

不正な接続が行われないようLANポート、HUBに物理的な措置を行うとともに、ダイヤルアップルータは運用時間外の電源遮断を行う。

4-1-2　既存住基サーバ

不正に管理者権限でログオンできないようにするため、パスワードに関するポリシーを確立し、このポリシーに沿ってシステムを運用する。

OSの脆弱性を利用した攻撃を回避するため、常に適切なセキュリティパッチを適用する。

4-1-3　庁内WEBサーバ

データファイルの共有設定を安易に行わない。

OSの脆弱性を利用した攻撃を回避するため、常に適切なセキュリティパッチを適用する。

不必要なサービスを停止するとともに、OSレベルでのパケットフィルタリングを利用する。

4-2　CSセグメント関係

4-2-1　既存住基サーバ／CS間のファイアウォール

システムが利用しないポートを閉鎖する。

OSの脆弱性を利用した攻撃を回避するため、OSのバージョンを最新にする。

4-2-2　CS

OSの脆弱性を利用した攻撃を回避するため、常に適切なセキュリティパッチを適用する。

不必要なサービスを停止するとともに、OSレベルでのパケットフィルタリングを利用する。

4-2-3　CS端末

不正に管理者権限でログオンできないようにするため、パスワードに関するポリシーを確立し、このポリシーに沿ってシステムを運用する。

不正な接続が行われないように、CS端末を設置している場所でのLANポートに物理的な措置を行う。ラック内にCS端末専用ファイアウォールを設置する。

4-2-4　アプリケーション

アプリケーションに脆弱性が含まれる場合があるため、第三者がソースコードをチェックできる仕組みを作る必要がある。

4-3　インターネット側からの攻撃関係

DMZに置かれた公開サーバに対しては、常に適切なセキュリティパッチを適用する。

公開サーバの管理者権限が奪取された場合を想定して、ファイアウォールの設定、庁内LANのコンピュータへのセキュリティパッチ適用を適切に行う。

　4-4　その他

　4-4-1　セキュリティ監査

一部の構成要素に限定せずにシステム全体について実施する。

第三者により定期的に実施する。

　4-4-2　SLA

管理を委託している業者との間でSLA（サービスレベル・アグリーメント）を結び、ネットワーク管理、セキュリティパッチの動作検証及び適用の責任の明確化を図る。

4-4-3　職員教育

職員がネットワークシステムの脆弱性を正しく理解することにより、不正なアクセスを防止する。

4-4-4　新たな技術等の導入

情報漏洩防止のためのモニタリングシステム、IDS・IDP、インベントリソフトによる端末管理、L3スイッチ等による経路制御、認証VLANなど、新しい技術の導入を図る。

4-4-5　ネットワーク・コンピュータシステムの共同運営

上記の対策を講じる際に多大なコストが発生することが予想されることから、県域WANを整備した上でサーバ群を共同管理するなど、複数の自治体によるネットワーク・コンピュータシステムの共同運営を検討する。

より良いウェブサイトにするためにみなさまのご意見をお聞かせください

このページの情報は役に立ちましたか？

1：役に立った

2：ふつう

3：役に立たなかった

このページの情報は見つけやすかったですか？

1：見つけやすかった

2：ふつう

3：見つけにくかった