ハッカー集団Fancy Bearにより、リオ五輪に参加した各国競技者のTUE情報が流出する事態が生じていることを受けて、世界アンチ・ドーピング機構(WADA)は、10月5日付けにて当該流出事件に関するサマリーを公開しました。当機構では、WADAとの連携の一環として、上述のサマリーを要約し、当機構のサイトにおいて以下の通り公表致します。

なお、本件サマリー、及びこれまでのWADAから公式発表により、以下の事項が明らかとなっています。

 

  • ハッカーは、WADA及びIOCのEメールアカウントをターゲットとし、Eメールでフィッシング攻撃を仕掛け、いくつかのADAMSパスワードが被害にあった可能性がある。
  • 非合法的に取得した1つのアカウントを使って、Rio2016 ADAMSアカウントに複数回不正アクセスしたことが確認されている。
  • 9月13日の第一回目のTUE情報流出後、5回にわたりリオ五輪に参加したアスリートに関連するTUE情報をウェブサイトに公開した。
  • 9月13日の第一回目のTUE情報流出後、問題となったアカウントを閉鎖した。
  • 9月12日以降、Rio2016 ADAMSアカントからデータが流出した新たな証拠は見つかっていない。
  • ADAMSのシステム自体に問題は生じていない。

 

(WADAサマリー原文:https://www.wada-ama.org/en/media/news/2016-10/cyber-security-update-wadas-incident-response

 

 

《 WADAが公開したサマリーの要約 》

 

・2016年6月、WADAは、リオ五輪のドーピングコントロール・プログラムを遂行するため、「Rio2016 ADAMSアカウント」を作成した。このアカウント作成後、国際オリンピック委員会(以下、IOC)が同アカウントの管理権限者となった。リオ五輪期間中に、IOCはアカウント管理者権限を行使し、リオ五輪の大会期間中のアンチ・ドーピング業務に従事する者のアカウントを構築した。この中にはWADA独立監査プログラムの一員として従事する2名のアカウントも含まれていた。

 

・リオ五輪の開催前及び期間中、ハッカーは、WADA及びIOCのEメールアカウントをターゲットとし、Eメールでフィッシング攻撃を仕掛けた。この攻撃によりいくつかのADAMSパスワードが被害にあった可能性がある。

(参考: フィッシングメールは、関心のあるアプリケーションにアクセスする(させる)ことで受信者をだまし、ユーザー名やパスワードといった情報を漏えいさせることを目的としている。)

 

・WADAの技術チームの調査によると、侵入者は2016年8月25日から9月12日の間に、ターゲットの内の1名から非合法的に取得したアカウントを使って、Rio2016 ADAMSアカウントに複数回不正アクセスしたことが確認されている。

 

・自らをFancy Bearと呼ぶ侵入者は、9月13日にTUE情報をウェブサイトに公開した。その後、侵入者は5回にわたりリオ五輪に参加したアスリートに関連するTUE情報をウェブサイトに公開した。それらのデータは、上述の8月25日から9月12日の間に発生した不正アクセスと一致している。

 

・9月13日にWADAはシステムの安全対策と攻撃を阻止する以下の追加措置を開始した。

  • Rio2016 ADAMS全アカウントの無効化
  • セルフサービスの「パスワード紛失」リセット機能の無効化
  • セキュリティ関連ログ機能の拡大
  • ログ及びネットワークアクティビティ監視の強化
  • 休止アカウントの無効化

 

・WADAは、ADAMSを含む、WADAのネットワーク、システム等の包括的な調査を実施するために、セキュリティ・コンサルティング業界でトップ企業であるFireEye 社(コンサル部門:Mandiant)と契約を締結して、システム内のデータへの不正侵入や進行中の脅威に関する調査を実施した。10月5日時点でMandiantの分析は90%以上完了しており、9月12日以降Rio2016 ADAMSアカントからデータが流出した新たな証拠は見つかっていない。

 

・情報漏えい発生の都度、WADAは、広範の署名当事者とメディアに加え、関係する全競技者とそのアンチ・ドーピング機関(国際競技団体:IF及び国内アンチ・ドーピング機関:NADO)に連絡を取り必要な支援を提供、今後も必要に応じて継続的に支援をしていく。

 

・WADAでは、全てのADAMSユーザーに対してネットワーク上のコミュニケーションについては注意して監視し、フィッシングには警戒するよう呼びかけている。これに関連し、先週WADAでは、何人かのユーザーが、「WADA事務局次長であるRob Koehlerより、WADAの会長がサイバー攻撃について話をしたいという内容の不審なメールを受信した」との報告を受けている。事務局次長からそのようなメールは一切送信していないので、引き続きそのような詐欺には十分に気をつけていただきたい。

 

・WADAは、Fancy Bearにより公開されたデータ(PDFドキュメント)の全てが正確にADAMSのデータを反映させているわけではないことを確認している。そして、WADAでは優先して本件について調査を継続しており、また、関係当事者がすでに公開されたデータに不正確なものがあると気がついた場合には、WADAに連絡することを推奨している。

 

・より長期的な措置として、WADAではADAMSのセキュリティをさらに強化していく。

認証制御に加えセキュリティログと監視プログラムを強化し、脆弱性強化と安全制御のための評価を遂行していく。WADAではさらに、ADAMSユーザーにフィッシング技術を使う第三者からパスワード搾取を防ぐ方法に関するガイダンスの提供を予定している。