富士通のプロジェクト情報共有ツール「ProjectWEB」への不正アクセスについてまとめてみた - piyolog

2021年5月25日、富士通はプロジェクト情報共有ツール「ProjectWEB」を利用する一部のプロジェクトに対し不正アクセスがあり、ツール内で保管された情報が窃取されたことを発表しました。ここでは関連する情報をまとめます。 情報流出確認されシステム運用停止 不正アクセスが確認されたProjetWEBは社内外の関係者（同社グループ会社、顧客、業務委託先等）とインターネット上で情報共有するサービス。ライブラリ、予定表、Todo管理、ドキュメント管理等の機能で構成される。富士通のデータセンターで稼働。利用実績は公表されていないが、数千プロジェクトで利用と報じられている。（平成21年時点で3000か所で利用）*1 富士通が不正アクセスとみられる痕跡を確認したのは5月6日。調査の結果、流出事実が確認されたことから25日にシステム運用を停止している。富士通社内への不正アクセスは確認されていない。*2

[lifefucker]

ログインページのデザイン…

[kamei_rio]

メーカーのツールを狙うのは中々ピンポイントで怖いな

[tkoutput]

成田国際空港のだけが何らかの設定ミスで流出したのかと思っていたら、実は大元のProjectWEBそのものが不正アクセスされたのか。政府機関の情報が流出したとなったら、非常にまずいですね。

[labor9]

ある意味Teamsのファイル管理機能の走り、みたいなツールで嫌いではなかった 外部とメール以外で情報共有するのって結構面倒だから、基盤が提供されていると楽。 ただし基盤が故にセキュリティ問題は痛い。

[bonlife]

(なつかし。LS研で使ってたの思い出すわ。)

[yuangao]

問題はこれが不正アクセスされたことで、共有しているプログラムや設計書が流出すること。富士通の顧客の運営するシステムへの攻撃とか二次被害がてなきゃ良いが。

[diveintounlimit]

タイムラインの動きが全体的にアホみたいに遅いな。情報流出から報告までに11日。システム停止までに19日。無能。

[shun_libra]

出た。F系のプロジェクトで嫌になるほど見たやつだ。

[NOV1975]

なつかしー

[vbwmle]

中国が留学生を使って日本国内にサーバ借りてまでSKYSEAやFileZenの解析・攻撃をやってたように、国内企業・機関が使ってそうな国産製品が狙い撃ちにされてる現状

[Falky]

『不正アクセスとみられる痕跡を確認したのは5月6日。調査の結果、流出事実が確認されたことから25日にシステム運用を停止』遅い…。こんな企業に国の重要なプロジェクト情報預けるの、さすがにありえないんでは

[Chisei]

Excel で管理していたら防げた（違

[good2nd]

「内閣サイバーセキュリティセンター」おい！

[hdkINO33]

そういや2000年代中頃くらいは結構この手のエンプラ向けオンラインコラボレーションアプリを日本の会社が開発してた記憶があるなあ。結局Google WorkspaceかOffice365あたりになってしまったが

[John_Kawanishi]

｢不正Accessの影響は複数企業に及んだと報じられているが5月25日時点で同事案に係る発表を行っているのは成田国際空港のみ｡又ProjectWEBへ行われた不正Accessに関する具体的な手口は明らかにされていない｣

[pochi-mk]

ProjectWEB 死すべし

[kurotsuraherasagi]

え？あっ

[electrolite]

ユーザーに過剰に忖度して機能を捨てられず、UIもエンジンもセキュリティもバージョンアップできなかった弱虫富士通の末路は哀れ。5/6に発見して今頃停止なんてのも弱腰すぎてみてられない。エアコンでも作ってろ。

[takeshi0206]

知らんけどこれ顧客とベンダーとのファイル交換用じゃなくて、プロジェクト管理ツールってことは、プロジェクトのドキュメントが１段目突破されると見れる状態なん？

[nukalumix]

20年以上前からあるよな ProjectWEB

[atm_09_td]

使いにくいツールだった印象。

[s_rsak]

ファイル共有はこれ使ってって言われたけど、ほんまに使いにくかった。

[and_hyphen]

こういうシステムってすごく古めな印象がある（ログインのデザインからして…

[chOn]

90日ごとにパスワード変更しないと使えなくなるって脅されてみんな似たようなのを使い回してた。不正アクセスっていってもそっちの方じゃない？/内閣府も国交省もらしいんで基盤のほうがやられてるかも(追記)

[hagane]

仕事用PCがMacだとIE要求されるせいで使えなくて、仕方なくParallels使ってた記憶。

[kaiton]

piyokangoさんいつもありがとうございます。24日にNISCが注意喚起を出していたのは初見でした。20日に某所での投稿を見てProjectWebで何かあったのだろうとは思っていました。富士通CSIRTは無いのか？すぐに停めるべきでは

[tetsutalow]

不正アクセスの原因なんでしょうね。最初のバージョンから20年くらい経ってる気がするのだけど、全面書き直しとかがなければ全体を把握する人がいないまま場当たりメンテされて使い続けられてたんじゃないかと不安。

[chiguhagu-chan]

そこまで共有しろとは言っていない

[hiroomi]

“ProjectWEBのログインページ”

[yuzuk45]

この企業製だからさもありなん

[externalight]

うっわ

[theatrical]

わざわざやるほど利益もなさそうだけどな、ランサムウェア的に脅迫でもかけるならともかく。

[kumoha683]

はてなブックマークを「ProjectWEB」で検索すると実サイトらしきものが複数ひっかかるな。

[komutan1]

自分もこの名前に見覚えはあるからどこかで使ってたんだろうな。古のホームページみたいなデザインだな。

[tito1201]

うわなつかしい