Security Incidents
昨日、トラストバンクが公表した『LoGoフォームで取り扱っている一部ZIPファイルに関する障害について』に関して、システムの概要と今回の経緯、影響範囲等を調べてみました。

システムの概要
 自治体専用ノーコード電子申請システム「 LoGoフォーム」は、行政のネットワーク環境「LGWAN」上で、自治体職員が電子申請や申込予約、アンケートなどのフォームを作成・集計し、一元管理できる自治体専用WEBフォーム作成ツールで、トラストバンクが2020年3月に提供を開始しました。

基本機能は、
 ①専門知識は必要なく、誰でも簡単にフォームを作成
 ②発行されたURLでフォームをらくらく公開
 ③IDキー入力による認証機能や、本人確認にも対応!登録間違い防止に役立つ機能も
 ④結果はリアルタイムで自動集計
で、オンライン化の業務は行政手続きだけでなく、申込予約や住民アンケート、さらには庁内の業務システム等、行政における様々な紙での業務や手続きを対象としています。


2020年8月にはデジタルIDアプリ「xID」に対応、マイナンバーカードによる本人認証が可能となっています。
利用自治体は順調に伸び、2023年5月時点で530自治体に導入され、1千万近い回答受付の実績があります。


今回の事案
LoGoフォームでは、申請者が申請フォームの一つの入力項目に添付できるファイルは1つのみで最大10MBとの制限があるため、複数ファイルや容量の大きなファイルをアップロードするにはZIP形式で圧縮する必要があります。
ZIP形式のファイルはそのままではウィルスチェックできないため、いったん解凍してウィルスチェック(感染時はワクチンで無害化)を行ってから再度圧縮してZIP形式にし、申請先に送付する無害化機能(2021年2月提供開始)が搭載されています。

このZIP形式のファイルの解凍作業用フォルダがシステムで共通になっていて、複数の申請者がほぼ同時にZIP形式のファイルを添付して申請し、無害化のために同時に解凍作業用フォルダに解凍され、無害化後に解凍作業用フォルダ全体を圧縮してZIP形式にして(作業用フォルダはクリア)、申請先に送付してしまったと考えられます。
ZIP形式のファイルを添付するケースは稀で、さらにほぼ同時となると非常に稀なため、1千万近い回答受付のうちの54件で事案が発生していたことに、ようやく気がついたといったところでしょうか。

すでにいくつかの自治体から今回の事案に関連してリリース等が公表されています。
■目黒区 電子申請サービスの不具合による個人情報の漏えいについて
■岐阜県 電子申請サービスのシステム障害による事業者情報の流出について
■旭川市(北海道新聞記事) 電子申請の個人情報 他自治体閲覧可能に 旭川市、サービス不具合で

まだ公表されているリリースは少ないですが、目黒区の事案だけでも5件(うち事業者が3件)、51名の個人情報漏えいと公表されていますので、該当する人数はかなり多くなる可能性があります。
例えば御前崎市の申請可能な手続き一覧を見ても、相当機微な個人情報も含まれていると考えられます。

ネットワーク環境
LoGoフォームは、LGWAN-ASPの一つとして提供され、自治体の閉域ネットワークであるLGWANとインターネットの両方に接続されています。


お知らせには、「該当のZIPファイル内のファイルに含まれていた個人情報につきましては、自治体内の閉域的なネットワーク内で発生したものであり、インターネット等の外部への流出はございません。」と書かれていますが、個人情報は企業・住民側から提供されたものであり、インターネット経由でLGWAN-ASPにアップロードされ、LGWAN側に送信されたものです。
LoGoフォームを通じて申請された内容はLGWAN-ASPであるトラストバンクのサーバー内に保持されていて、申請した企業・住民がマイページから自身の申請内容を参照(取消可能な場合も)することが可能になっていますので、ここにサイバー攻撃が行われると個人情報が流出する可能性があります。

インターネットからLoGoフォームの管理画面に接続することも可能になっています。端末側のIPアドレス(オプション)とパスワードで保護されていますが。

上の図からも多重に障壁があることがわかり、インターネットからLGWANに侵入される可能性は非常に小さいことは想像できますが、それもLGWANに直接接続可能なVPNゲートウェイ等が無いことが前提になります。

システム環境
LoGoフォームのサーバーはCloudflare(米)に設置され、DigiCert(米)のEV証明書で暗号化通信が行われています。
サーバーの運用管理にはSTNetが関与し、サーバー監視はZabbixで行われています。