国内大手企業三菱電機が大規模なサイバー攻撃を受け、機密情報が流出した可能性があると2020年1月20日に発表しました。この事件は大きく報道され、国内外に大きなインパクトをもたらしました。三菱電機は日本において防衛関連の開発も行う非常に重要な役割を担った大企業であり、意図的に狙われた可能性があるからです。今回はこの事件の経緯や原因、そしてどうすれば同様の事件を防げるのかまで詳しくみていきたいと思います。
三菱電機がサイバー攻撃を受けた理由
三菱電機が狙われた理由として考えられるのは、防衛関連の部品を開発していたことがあげられています。特に、最近では窒化ガリウム(GaN)を使った機器の開発を担っており、火器管制レーダーの「J/APG-2」や、長射程空対空ミサイルに搭載するアクティブ・フェーズド・アレイ(AESA)レーダーなどがあります。こうした最新の半導体を使った機器に関する情報、特にGaNを使った電子機器に関する情報は、世界的にも非常に価値が高いといえます。しかも、三菱電機のレーダー機器は日本のみならず、欧州などの軍事機器にも使われるので、この問題は日本だけの問題にとどまりません。
三菱電機は発生時当初は、これらの防衛や電力、鉄道など社会インフラに関する機微な情報や機密性の高い重要な情報は「流出していないことを確認済み」と説明していました。あくまで流出した可能性のある情報は、採用応募者情報1987人、従業員情報4566人、退職者情報1569人分の個人情報や、技術資料や営業資料などとしていました。
しかし2月10日夜、これまで流出していないと説明していた、防衛に関する重要な情報が流出した可能性があると発表しました。防衛省によると、流出した可能性があるのは、防衛装備庁が2018年10月に貸し出した装備品の研究試作の入札に関連した資料で、取り扱いに注意すべきとする注意情報が含まれていた。防衛省は最終的には三菱電機とは別の企業が契約を締結しており、流出が安全保障に与える影響については「精査中」と発表しています。
流出情報の把握が遅れた訳
当初は防衛情報の流出はないと言っていた三菱電機でしたが、わずか一ヵ月で発表を反転させています。なぜ発覚が遅れたのか、また情報の把握が正確にできなかったかについては、次のような原因があげられています。
・サーバのログが改ざんされている
・攻撃は数年前から行われていた可能性がある
・攻撃認知から発表までに時間がかかっている
・複数グループの関与が疑われる
・攻撃ベクトルは多様(脆弱性・USBメモリ・メール)
監視や検出をすり抜け、ログも消去されていることから発覚が遅れ、事態の全容を把握することが困難だったことがうかがえます。これまで当たり前とされてきた「パターンマッチングによるマルウェア検知」はすり抜けて侵入し、ログまで改ざんできる技術を持っていました。これだけの高度な技術をもった攻撃者は確実にプロであり、一部では中国系のサイバー攻撃集団「Tick」の関与が疑われているといった報道もあります。また他にもAurora Panda、Black Techなど複数の攻撃グループの攻撃も指摘されています。
攻撃の手口
攻撃は数年前から周到に準備され仕掛けられている模様でしたが、時系列的に以下の事が判明しています。
・2019年3月18日時点:ウイルス対策ソフトのゼロデイ脆弱性が利用されウイルス対策管理サーバへ侵入される
・2019年6月~7月:同社の複数の端末の「PowerShell」のファイル名を書き換えられる
最初に標的となったウイルス対策管理サーバは中国拠点で運用していたマルウェア対策用のもので、2019年3月18日に外部から当時未知の脆弱性を用いたゼロデイ攻撃が行われ、パターンファイルのアップデート機能を悪用し侵入されていることが発覚しました。ゼロデイ攻撃とは、新たな脆弱性(セキュリティホール)が発見されたときに、問題の公表や修正プログラムが提供される前に行われるサイバー攻撃のことです。対策を取られる日を1日目(ワンデイ)と考え、それより前に行われるので0日目(ゼロデイ)と呼ばれています。問題が修正される前に脆弱性を突く攻撃が行われるため対応策が限られ、深刻なダメージを被る危険性が大きいことで知られています。朝日新聞の独自取材によると、三菱電機が攻撃をうけたセキュリティソフトは、トレンドマイクロの「ウイルスバスター」の法人向け製品が原因だったと報じています。
その後、4月3日に日本国内にあるウイルス対策管理サーバが同様の手法により攻撃を受け、マルウェア対策製品のクライアントが導入されているサーバや端末などが侵害され、外部との通信を行っていました。当初の攻撃は、送信元が詐称されていたことから攻撃者の特定が難しく、その後の攻撃には大手のクラウドサービスが用いられたとしています。攻撃には、ブラウザと同じ名前の「PowerShell」ファイルを用いており、同ファイルよりファイルレスマルウェアを実行、リモートより端末の遠隔操作が行われ、中国国内の他拠点にも感染が拡大したということです。
執拗な標的型攻撃(APT攻撃)
こうした、三菱電機へのサイバー攻撃は「標的型攻撃」と言われています。標的型攻撃は、特定の組織内の情報を狙って行われるサイバー攻撃の一種であり、その組織の構成員宛てにコンピュータウイルスが添付された電子メールを送ることなどによって開始されます。 以降も持続的に潜伏して行われる標的型攻撃はAPT攻撃と呼ばれています。APT(Advanced Persistent Threat)は従来の標的型攻撃に比べ高度(Advanced)で、かつ持続的(Persistent)に実行される脅威(Threat)だと言えます。トレンドマイクロ社よるとAPTとは「特定の組織に不正侵入し、時間や手段などを問わず目的達成に向け標的に特化して行う継続的な攻撃」と定義しています。攻撃者が長期的に潜伏するためにあくまで“静かに“、そして“影響が少ない”行動でネットワークの検知をかいくぐっていきます。そのためAPTが発覚した時は既に、侵入が成功し、情報が盗み取られてしまっていることがほとんどとも言われています。
他人事ではないサイバー攻撃
こうした標的型攻撃は三菱電機のような高度な技術や情報をもつ企業だけが狙われると思われるかもしれませんが、一般の中小企業も脅威にさらされています。IPA(独立行政法人情報処理推進機構)による「情報セキュリティ 10 大脅威 2019」によれば、組織の脅威の1位にあげられたのは4年連続で「標的型攻撃による被害」です。標的型攻撃は様々な手法があり、2009年にUSBメモリを用いてイランの核施設を攻撃したStuxnetや、2018年夏のウェブ/モバイルサイト改ざんにより個人情報を窃取したブリティッシュ・エアウェイズ等のインシデントもありますが、その攻撃の多くは、初期段階(偵察フェイズ)でメールを利用して攻撃対象者をマルウェアに感染、あるいはフィッシングサイトに誘導しようとします。
警察庁が2019年3月7日に発表した「平成30年におけるサイバー空間をめぐる脅威の情勢等について」によると、平成30年の標的型メールは6,740件(前年比11%増)と年々増加傾向にあります。また標的型メールの送信元メールアドレスは98%が偽装されており、標的型メールに添付されたファイル形式はWord/Excel文書が68%を占めています。攻撃者の偽装メールのパターンも巧妙化していて、不自然に思えない文面のメールのURLリンクをついうっかり押してしまう例が後をたちません。そして気が付かないうちにマルウェアに感染し、ある日重要なデータや個人情報が流出してしまうという事件が日々報道されています。
標的型攻撃やAPT攻撃への対策は?
標的型攻撃への対策としては、
・不審なメールやリンクを安易にクリックしない
・個人用端末にも総合的なセキュリティソフトを導入、常に最新の状態に保つ
・外部への不正なネットワーク通信・接続の検出
・ネットワーク内部での不審な挙動を可視化する
・セキュリティポリシーの策定
・従業員に対するセキュリティ教育、注意喚起の実施
といったことが基本的なこととしてあげられています。しかし攻撃がより高度化したAPT攻撃となるとこれらのベーシックな対策では防御することは不可能です。APTについての対策は、入口対策だけでは防御不可能だと知ることがまず重要です。多くのセキュリティソフトは侵入の検知と水際で食い止めることを目指しています。しかし今回の事件では、侵入されてしまい食い止める事ができませんでした。日々技術力をつける攻撃者に対抗するには、従来のやり方では不十分ということです。市販の侵入を食い止めるのに「パターンマッチングによるマルウェア検知」だけではない手法を組みあわせること、また侵入されてしまったことも前提としたモニタリングシステムといった複合的なソリューションが求められています。不正アクセスは防ぎきれないという前提で、自分の組織にどのようなアプリケーションがあるのか、それらに残る脆弱性はどのようなものか、といったことを把握し、リスクについても想定した出口対策についての対応を企業は求められています。
