「漏えい確認なし」でもサーバ廃止へ NTTPCが下した異例の判断、その背景は:不正アクセスの痕跡
NTTPCコミュニケーションズが公表したWebARENAサービスへの不正アクセス事案で、第三者による管理情報へのアクセスや顧客領域への改変の痕跡が明らかになった。同社は一部サーバの廃止と顧客移行を決断。なぜそこまで踏み込んだ対応が必要になったのか。
NTTPCコミュニケーションズは2026年6月23日、「WebARENAメールホスティング」および「WebARENA SuiteX」の付帯機能である大容量ファイル転送機能と、「WebARENA SuiteX」の一部サーバ(dc70.etius.jp)の停止について、外部のセキュリティ専門会社と連携した調査結果と今後の対応を公表した。
いずれの事案でも、第三者による不正アクセスの痕跡が確認された。同社によると、現時点で顧客情報の外部漏えいや不正利用などの二次被害は確認されていない。ただし、情報漏えいの可能性を完全には否定できないとしており、影響を受ける可能性がある顧客への個別連絡を進めている。
不正アクセスの痕跡を確認、ファイル転送機能は再開まで半年超
同社によると、2026年4月29日深夜以降、外部からの攻撃とみられる通信が断続的に発生したことを受け、対象サーバへのアクセスを遮断し、同機能を停止した。その後の調査で、同機能を構成するサーバの一部において、同年4月21日から第三者による不正アクセスの痕跡が確認された。
対象サーバには認証ログや、契約者がアップロードしたファイル、アップロード操作ログなどが保存されていた。認証ログにはメールアドレスや認証日時、アップロード関連情報には日時やIPアドレス、ファイル名、ダウンロード用URLなどが含まれていた。保存されていたデータには、最大7446件のメールアドレスを含む認証ログや、4463件のアップロードファイルが含まれる。
同社は、調査時点で情報漏えいを示す痕跡は確認されていないとしている。一方で、不正アクセスの痕跡が確認されたサーバにこれらの情報が保存されていたことから、情報漏えいの可能性を完全には否定できないとしている。対象となる顧客には、契約IDを記載した個別連絡を順次送付する。
同機能は2026年6月26日現在も停止したままとなっている。同社は調査結果を踏まえ、従来環境を見直してシステム全体を再構築していると説明した。サービス再開には一定の期間が必要としており、再開時期の目安を2026年12月ごろとしている。
顧客領域への改変も確認、同一環境での再開を断念
WebARENA SuiteXの一部サーバでは、2026年5月10日に外部からの攻撃と見られる通信が断続的に発生した。
対象は、SuiteX V1およびSuiteX V2スタンダード契約者のうちdc70.etius.jpに収容されている顧客、またはSuiteX V2メールプレミアム契約者でWebサーバとして同サーバを利用している顧客だ。同社はサービスと顧客コンテンツの安全性確保を目的に、対象サーバへのアクセスを遮断し、サービスを停止した。
調査の結果、同サーバでは第三者による不正アクセスの痕跡が確認された。さらに、同社システム管理上の暗号化された情報の一部が第三者に閲覧されていたことも判明した。同社は閲覧された情報の具体的な内容については明らかにしていない。
加えて、7契約分の顧客領域において、不審なファイルが設置された痕跡も確認された。
顧客情報については、現時点で漏えいを示す痕跡や不正利用などの二次被害は確認されていない。ただし、不正アクセス自体は成立しており、一部の管理情報へのアクセスや顧客領域への改変が確認された格好だ。
同サーバにはWebコンテンツやデータベース情報、メールデータの他、管理者アカウントやWebアカウント、メールアカウントに関する情報、各種ログなどが保存されていた。対象は385契約で、8203件のメールアカウントと269件のWebアカウントが含まれる。
サーバを廃止し顧客移行へ、パスワード変更を要請
NTTPCコミュニケーションズは、dc70.etius.jpについて、同一環境でサービスを再開することは将来的なリスク排除の観点から適切ではないと判断した。そのため、同サーバの契約を終了扱いとし、利用者を別環境に移行する方針を示した。
代替となるWebARENA SuiteX環境については、希望する顧客向けに提供を開始している。料金減免を含む各種手続きについては、登録済みメールアドレス宛てに個別に案内する。
同社によると、dc70.etius.jp以外のWebARENA SuiteX環境では、現時点で同様の不正アクセスは確認されていない。また、本件の原因への対処は完了しており、影響は当該サーバに限定されていると判断している。
ただし、既に他サーバに移行済みの場合を含め、dc70.etius.jpと同一のパスワードを利用している顧客に対しては、メールアカウントやWebアカウント、Webコンテンツの各パスワードを変更するよう呼びかけている。
再発防止策として同社は、外部専門会社によるセキュリティ診断の実施に加え、高リスク脆弱性へ迅速かつ確実に対応する体制の強化、不審なアクセスを継続的に監視・遮断する仕組みの導入、監視体制の強化などを進める。経営層主導の下で、全社的なセキュリティ対策の継続的な改善に取り組むとしている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「ランサムウェア」侵入手順を徹底解説 もう知ったかぶりからは卒業しよう
“ランサムウェア”と聞くと、ある日突然データが暗号化されると思いがちだ。しかし攻撃者は、そのはるか前から静かに侵入し、社内を調査し、重要データを探し出している。泥棒の犯行になぞらえながら、ランサムウェア攻撃の全体像を分かりやすく解説しよう。
パスキー神話崩壊 Google Password Managerの同期機能を狙う新攻撃手法
パスワードに代わる認証手段として普及が進むパスキー。しかし、研究者が公表した新たな攻撃手法は、その安全性を支える“別の仕組み”に着目していた。暗号技術そのものを破らず、Google Password Manager利用者の認証情報に到達する手法とは。
インシデント0件は良いニュースとは限らない? 報告の質をちょい上げするコツ
インシデント発生件数0件――多くの企業で「良いニュース」として受け止められる数字です。しかし、その結果を手放しで喜んでよいとは限りません。攻撃を防いだからゼロだったのか、そもそも見えていなかったのか。その違いは報告書からは見えません。見落としがちな“ゼロの意味”と、報告の質を高めるヒントを紹介します。
パッチ適用後も標的に? 32万台超のFortiGateを襲った「FortiBleed」の正体
FortiGateを狙った大規模な認証情報収集キャンペーンの存在が明らかになった。対象となった機器は32万台超。その中には比較的新しい更新プログラムが適用された装置も含まれていたという。攻撃者は何を狙い、どのように侵入経路を確保していたのか。
世界中のWebサーバが影響 Apacheが危険な脆弱性を一斉修正
Apache HTTP Serverに大規模な修正が入った。最新版ではHTTP/2処理をはじめ、プロキシやSSL、認証機能など広範囲に及ぶ脆弱性に対処している。サービス停止やメモリ破壊につながる恐れがある問題も含まれていたため急ぎ修正してほしい。