ブログ - ProjectWEB
最初は成田空港だけかと思ったら,もっと範囲が広かった.
富士通のプロジェクト情報共有ツール「ProjectWEB」への不正アクセスについてまとめてみた
https://piyolog.hatenadiary.jp/entry/2021/05/26/053332
どういうものなのかみたことないので調べてみた.2009年の論文なので
SEのビジネス基盤を目指すProjectWEBの新たな取組み
適当にピックアップ.
ライブラリ機能
todo list機能
プロジェクト管理支援機能(富士通の標準プロセス体系「SDEM(エスデム)」を基盤として開発)
Microsoft Project+Slack+継続的インテグレーションが一緒になったようなものだろうな(嘘)
歴史は20年以上.
引用:
これ.
引用: 利用者側がこの機能を徹底的に設定していたとすると,犯人は利用者の中にいる可能性も?!
誰も言わない?けれど,これ.
プロジェクト情報共有ツールへの不正アクセスについて
https://pr.fujitsu.com/jp/news/2021/05/25.html
引用:
富士通の対応策は正しい,と思うけれど,これで日本中の大きなシステムのプロジェクト管理が停止してしまっているという事実...止まっていても影響がないのか,多大なる影響があるのか.
おまけ
システム構築の標準プロセス体系:SDEM
https://www.fujitsu.com/downloads/JP/archive/imgjp/jmag/vol63-2/paper15.pdf
追記2022/01/07
富士通が情報流出招いたProjectWEBの廃止を発表、「名無し」の代替ツールを提供へ
https://xtech.nikkei.com/atcl/nxt/news/18/11844/
引用: 廃止するのは良いけれど.
引用: まだ調査は進めている?ようだから,続報がでてくるのだろうか.こういうコストも,対策不足による負のコスト,リスクとして計上しておく必要があるのだろうな.
プロジェクト情報共有ツールへの不正アクセスについて(第四報)
https://pr.fujitsu.com/jp/news/2021/12/9-1.html
引用:
調査は完了となっている.ログを追いかける作業は終了ということか.
引用: 結果を内閣サイバーセキュリティセンターに投げて判断待ち.
富士通の出した回答以上には答えられないと思うけれど,何か明確な攻撃被害があったと紐づけられているわけでも無いから,そのまま鎮静化かな.
これは根拠がないけれど,なんだか古臭いシステムだし混乱もなさそう?だから,旧式のシステム開発に関わる情報を掲載していただけだったんじゃなかろうか.
追記2022/03/10
まさかの進展あり.
「ProjectWEB」の被害組織数を上方修正 - 富士通
https://www.security-next.com/134678
引用:
地味に進めてるんだな...
富士通のプロジェクト情報共有ツール「ProjectWEB」への不正アクセスについてまとめてみた
https://piyolog.hatenadiary.jp/entry/2021/05/26/053332
どういうものなのかみたことないので調べてみた.2009年の論文なので
SEのビジネス基盤を目指すProjectWEBの新たな取組み
適当にピックアップ.
Microsoft Project+Slack+継続的インテグレーションが一緒になったようなものだろうな(嘘)
歴史は20年以上.
引用:
富士通は2001年以降,インターネット環境で構築されたProjectWEBをお客様・ビジネスパートナと利用する環境を提供している。そのため,ProjectWEBをセキュアに運用するための取組みは不可欠である。
これ.
引用:
IPアドレスによるアクセス制御は,アクセス拒否,あるいはアクセス許可をかける端末IPアドレスの指定を可能にする。とくに後者の活用により,指定された端末からのみProjectWEBへのアクセスを許可することが可能となる。IPアドレスによるアクセス制御を活用することにより,ProjectWEBへのアクセスを,プロジェクトが許可したセキュリティ対策済みの端末からのみ実施することが可能となる。
誰も言わない?けれど,これ.
プロジェクト情報共有ツールへの不正アクセスについて
https://pr.fujitsu.com/jp/news/2021/05/25.html
引用:
本事案の影響範囲および原因は現在調査中であり、更なる不正アクセスが発生しないよう「ProjectWEB」の運用を停止しております。
富士通の対応策は正しい,と思うけれど,これで日本中の大きなシステムのプロジェクト管理が停止してしまっているという事実...止まっていても影響がないのか,多大なる影響があるのか.
おまけ
システム構築の標準プロセス体系:SDEM
https://www.fujitsu.com/downloads/JP/archive/imgjp/jmag/vol63-2/paper15.pdf
追記2022/01/07
富士通が情報流出招いたProjectWEBの廃止を発表、「名無し」の代替ツールを提供へ
https://xtech.nikkei.com/atcl/nxt/news/18/11844/
引用:
富士通は2021年12月9日、同社が運営するプロジェクト情報共有ツール「ProjectWEB」を廃止すると発表した。同ツールを巡っては、不正アクセスを受けて複数の法人顧客の情報が流出するなどの問題が相次ぎ、運用を停止していた。
引用:
日経クロステックは過去の報道で、ProjectWEBに多要素認証を実装していなかったことや、ログの収集が不十分で不正アクセスを受けた原因や時期が特定できていない同社の問題点について報じている。富士通はProjectWEBで発覚した複数の脆弱性について「セキュリティーに関することであり、回答は差し控える」(同)とした。
プロジェクト情報共有ツールへの不正アクセスについて(第四報)
https://pr.fujitsu.com/jp/news/2021/12/9-1.html
引用:
なお、本事案の原因に関しては、脆弱性を悪用した侵入、運用管理者や一般利用者の端末のマルウェア感染等、これまであらゆる可能性を考慮して調査を実施し、当社内においてはその調査は既に完了しております。その結果、ProjectWEBに数種類の脆弱性が存在していたことが確認されており、悪用された脆弱性の特定には至りませんでしたが、第三者がそのいずれかを用いるなどして、正規のIDとパスワードを窃取し、これを使用することで正常認証および正常通信と見える形で、ProjectWEBに対して外部から不正アクセスを行ったものであると判断しております。
調査は完了となっている.ログを追いかける作業は終了ということか.
引用:
現在、本事案の原因および当社の対応について外部有識者の「検証委員会」に検証頂いております。また、これまで実施した原因調査や被害範囲の確認の妥当性等を検証すべく、客観的・技術的な観点から、内閣サイバーセキュリティセンター様等にご相談しております。当社といたしましては、検証委員会の検証結果や内閣サイバーセキュリティセンター様等のご助言も踏まえて、改めてしかるべき時期に本事案に関する総括を行うとともに、
富士通の出した回答以上には答えられないと思うけれど,何か明確な攻撃被害があったと紐づけられているわけでも無いから,そのまま鎮静化かな.
これは根拠がないけれど,なんだか古臭いシステムだし混乱もなさそう?だから,旧式のシステム開発に関わる情報を掲載していただけだったんじゃなかろうか.
追記2022/03/10
まさかの進展あり.
「ProjectWEB」の被害組織数を上方修正 - 富士通
https://www.security-next.com/134678
引用:
同社によると継続的に連携してきた外部機関の協力があり、2022年1月から調査を進めてていたところ、あらたに13件の顧客で不正アクセスを受けていたことが2月17日に判明したという。
地味に進めてるんだな...
