0
会員になると、いいね!でマイページに保存できます。
三菱電機へのサイバー攻撃は、業界のみならず社会へもかなりのインパクトを与えた。三菱グループとしては重工に続いての大きなサイバー攻撃被害といえる。攻撃主体としては中国系のグループがいくつか指摘されており、典型的な「高度かつ執拗(しつよう)な標的型攻撃」(APT攻撃)であり、ステートスポンサード攻撃とみていいだろう。だとすると気になるのは、防衛産業や航空宇宙関連の技術情報への被害だ。本当に被害はないのだろうか。
ニュース映えする報道に惑わされない
各紙報道やその他の情報を整理すると、今回の三菱電機へのサイバー攻撃のポイントは以下になるだろう。
- ・攻撃は数年前から行われていた可能性
- ・サーバのログが改ざんされている
- ・攻撃認知から発表までに時間がかかっている
- ・複数グループの関与が疑われる
- ・攻撃ベクトルは多様(脆弱性・USBメモリ・メール)
盗まれた可能性のある情報は、従業員や採用応募者、退職者の個人情報のほか、企業秘密としては、役員会議資料、研究所の週報、重要インフラ事業者を含む取引関連情報が挙げられる。さらに防衛省、宇宙航空研究開発機構(JAXA)、内閣府その他官公庁とのやり取り情報なども流出の可能性があるとされている。
一方で、国防やエネルギー、鉄道などにかかわる機微情報は流出していないと発表されている。
もう1つニュースを騒がせたのは、攻撃にウイルス対策ソフトのゼロデイ脆弱性が利用されていたことだ。三菱電機や当該ベンダーから正式な発表はないが、朝日新聞は関係者への独自取材として、トレンドマイクロの「ウイルスバスター」の法人向け製品が原因だったと報じている。
ニュースやブログなどでは、三菱電機のセキュリティ体制や報告・情報共有体制を批判的に取り上げているものもある。業界全体の問題や、ステートスポンサード攻撃(国家から支援を受けているサイバー攻撃)への新たな対策強化を主張するものも見られた。
当然さまざまな分析があり、それぞれの立場もあるが、情報や論調が入り乱れていると、どれが正しいのか判断が難しくなる。ニュース映えする報道や情報だけを見ていると、この問題の「本質」を見失うことにもなるので、上記5つのポイントを基に、問題点を整理したい。
複数グループによる多発的攻撃だった可能性
この事例は、言ってみれば典型的なAPT攻撃(高度かつ執拗な標的型攻撃)と呼ばれるものだ。しかも、最近の特徴でもあるサプライチェーン攻撃の形態もとっている。
最初の中国拠点の汚染は2017年前後とされ、そこを踏み台に国内の研究所や事業所に侵入している。中国での攻撃はルーターの脆弱性が利用されている。ほかにもUSBメモリを使った攻撃、端末監視エージェントの脆弱性への攻撃などもあったとされる。
攻撃者については、ログを消すという特徴や利用されたエクスプロイトの分析から、中国を由来とする攻撃グループTick(Bronze Butler)の関与の他、Aurora Panda、Black Techなど複数の攻撃グループの攻撃も指摘されている。
APT攻撃は、侵害や情報漏えいなどのインシデントが確認された時点で、サイバーキルチェーンでいう横展開や最終的な目的の遂行(データの盗み出し)が終わっていることがほとんどだ。
スピアフィッシングや標的型攻撃メールによる侵入が終わり、エクスプロイト、マルウェアのインストールも終わっている。この段階では、指令を受けるためののC2サーバとの通信路も確保されているはずだ。この過程で、ログの改ざんや消去がされていると、被害状況や範囲の正確な分析は十分にできない。
複数のAPT攻撃の兆候、痕跡が見られるなら、おそらくTickだけの攻撃とみなすことはできない。数年前から複数グループから攻撃されていたものが、ウイルス対策ソフトの脆弱性が公表され、そのチェックで、大規模な被害が判明したと見るのが妥当だ。
そうなると、三菱電機が発表した「防衛関係、電力・交通等社会インフラにかかわる機微情報、機密情報は漏れていない」という内容は信頼できるのか、という疑問が浮かぶ。
【次ページ】 三菱電機の分析に「バイアス」はかかっていないのか?
関連タグ