ニュース

三菱電機、不正アクセス事件の詳細を公開、攻撃者は「ファイルレスマルウェア」で中国拠点から感染を拡大

 三菱電機株式会社は1月20日に発表した不正アクセス被害について、調査によって判明した攻撃手法や対応経緯の詳細を発表した。攻撃者はWindowsに標準搭載された「PowerShell」を悪用する「ファイルレスマルウェア」を用いて、同社の中国拠点から日本国内のウイルス対策管理サーバーへと感染を広げていた。

ファイル名を書き換えられた「PowerShell」が複数の端末に存在

 三菱電機では、2019年6月28日にウイルス対策ソフトが国内拠点の端末で不審な挙動を検知。7月8日、当該端末で不審な挙動として検出されたファイルは、PowerShellのファイル名がウェブブラウザーソフトの実行ファイル名に書き換えられたもので、ファイルレスマルウェアを実行するための機能として利用されていたことを確認した。ファイルレスマルウェアはOSに標準で備わる機能を悪用してメモリ上で実行されるため、攻撃の検知が困難で問題発生に気付きにくい。

 7月10日に同社グループの国内外約24.5万台の端末とサーバーを共通管理している構成管理ツールで各端末内のプログラム構成を調査したところ、ファイル名を書き換えられたPowerShellが他の複数の端末にも存在することが確認され、国内外の複数拠点にまたがる不正アクセスの可能性が高いと判断された。7月17日までに不正な通信先を全て特定・遮断してからは不正アクセスは確認されていないという。

2019年3月時点で侵入済み、ウイルス対策管理サーバーがゼロデイ攻撃を受ける

 ウイルス対策ソフトで不審な挙動を検知したのは2019年6月だったが、それより約3カ月前の3月18日時点で、三菱電機の中国拠点内ネットワークにあるウイルス対策管理サーバーがゼロデイ攻撃を受け、パターンファイルアップデート機能を悪用されるかたちで同拠点の端末に侵入されていた。ウイルス対策管理サーバーへの攻撃者の送信元アドレスが詐称されていることから、攻撃者の特定は難航しており、現在も調査は継続されているという。

 3月18日以降、当該端末のメモリ内で活動するファイルレスマルウェアがPowerShellを用いて実行され、外部からの遠隔操作を確立し、三菱電機の中国内他拠点に感染を拡大。4月3日に、攻撃者は中国拠点の端末を介して日本国内にあるウイルス対策管理サーバーを攻撃し、ファイルレスマルウェアを用いて、国内複数拠点の端末に侵入した。

 同日以降、攻撃者はウイルス対策管理サーバーの機能を悪用し、ウイルス対策クライアントソフトが導入されている国内拠点のサーバーの一部に不正アクセスし、外部との通信を開始した。これらの攻撃において、攻撃者はファイルレスマルウェア実行のプラットフォームとして、複数の大手クラウドサービスを利用していたという。

感染疑いのある端末は国内外で132台、防衛省の指定した「注意情報」が流出した可能性も

 感染の疑いのある端末は国内外で132台に上り、そのうち国内の9台は個人情報などの重要情報が含まれていた。

 電力・鉄道などの社会インフラに関する機微な情報、機密性の高い技術情報や取引先との契約で定められた重要な情報は、攻撃を受けた可能性のある全ての端末からアクセス可能な範囲に含まれておらず、流出していないことを確認しているという。

 流出した可能性のある企業機密は、三菱電機の社内の技術資料、設備投資計画や月次・週次の進捗報告、受注状況など、ほとんどは社内向けの資料だったが、防衛省の指定した「注意情報」が含まれていることを2020年2月7日に発見した。

 三菱電機では米国国立標準技術研究所(NIST)の規格である「サイバーセキュリティフレームワーク」を採用し、それに従って事業内容に応じたサイバーセキュリティ対策を講じていたが、今回の事象は従来の監視や検知をすり抜ける巧妙な手法だったことから、「攻撃を完全に防御することはできなかった」とコメントしている。

 三菱電機では今後、技術的対策、文書管理の徹底、体制強化を行うとしている。また、情報セキュリティ全般の企画・構築・運営の機能を一元的に担う社長直轄の統括組織を4月1日付で新設する予定としている。