「RSA SecurID」の内部情報を悪用した攻撃が発生、トークン交換の対応も

　米EMCは、社外に漏えいした「RSA SecurID」に関する情報を悪用したサイバー攻撃が5月に発生していたことを公表するとともに、顧客企業への新たな対応として、RSA SecurIDのワンタイムパスワード生成トークンの交換プログラムを実施することなどを発表した。EMC上級副社長のArt Coviello氏が、RSA SecurIDの顧客にあてた6月6日付の書簡で明らかにした。

　EMCは、Coviello氏の3月17日付の書簡で、同社のセキュリティ部門であるRSAの情報システムがサイバー攻撃を受けて情報が盗まれ、RSA SecurIDの二要素認証製品に関する情報の一部が含まれていたことを公表。ただしその時点では、盗まれた情報によって広範なサイバーの一部としてセキュリティ効果が低下する可能性はあるが、RSA SecurIDの利用者への直接的な攻撃が成功することはないと説明していた。同時にEMCでは、RSA SecurIDのパスワードの最初に入力するPINコードを4けたから8けたに増やすセキュリティ強化策などを顧客に案内していた。

　それが6月6日付の書簡によると、米ロッキード・マーチンに対して5月に発生したサイバー攻撃の一部に、成功はしなかったものの、RSAから盗まれた情報を使った攻撃があったことを確認したという。なお、この攻撃の目的は防衛機密や知的財産の搾取と推測され、金銭や個人情報目的、愉快犯ではないと推測されるとしている。また、この攻撃は、RSA SecurIDの新たな脅威や脆弱性が使われたものではないことも強調している。

　このように実際に攻撃に悪用されたことを受けてEMCでは今回、顧客企業におけるRSA SecurIDに対する懸念の高まりを考慮。セキュリティ保護のための新たな対応として、トークンの交換プログラムと、リスクベース認証製品の提供という2つを実施することにした。

　トークンの交換は、単一企業内において知的財産の保護やネットワークの保護のためにトークンを利用している場合を対象とするもので、すべての顧客企業に適用しなければセキュリティが保たれないことを意味するものではないと説明している。

　一方、リスクベース認証製品は、アクセスのパターンやアクセス元などに基づいて怪しいアクセスを検知するものだ。RSA SecurIDを一般消費者向けに大規模に導入、利用者が分散しており、ウェブベースの金融トランザクションに利用している場合が対象になる。

　日本法人のEMCジャパン株式会社によると、これらの対応はワールドワイドで行うもので、日本国内のRSA SecurIDの顧客企業も含まれるとしている。

　EMCジャパンではまた、この件について報じた6日付の一部報道に対してコメントを発表。同報道において、トークン4000万台を交換すると伝えていた部分は事実と異なるとし、すべてのトークンを交換するものではないと否定した。また、「交換は原則無償だが、一部費用の負担を求める場合もある」とされた部分についても、書簡では費用については一切言及していないと説明している。