三菱電機、不正アクセス事案の調査結果を公開

2020-02-13 16:24

ZDNet Japan Staff

 三菱電機は、1月に発表した機密情報の流出が疑われる不正アクセスに関する調査結果を公開した。セキュリティ対策システムの脆弱性を突く手口での侵入から社内で侵入が拡大したと説明している。

 この事案は、同社への不正アクセスによって個人情報や防衛省が取り扱いでの注意を規定した情報などの外部流出が疑われたもの。社会インフラに関する機微情報や機密性の高い技術情報、取引先との契約で定められた重要情報の流出はなかったとする。

 同社では、以前から米国国立標準技術研究所(NIST)の「サイバーセキュリティフレームワーク」に基づいて、標的型メールの挙動検知やインターネット出入口の制御・監視、社内ネットワーク内のアクセス制御、パッチ管理を含むサーバーおよび端末のグローバルでの構成一元管理など多層防御を講じていた。また、インシデント発生などの際に対応するCSIRTの「MELCO-CSIRT」も運用していた。

 だが、結果として不正アクセスの検知と防御ができなかったという。攻撃では、ベンダーから配信されるウイルス対策ソフトのシグネチャーを社内で端末などに再配信するサーバー(最初の侵入は中国拠点に設置されたもの)が踏み台となり、攻撃者はここから複数の端末を経由して国内の同様のシステムにも侵入、侵入先を広げながら重要情報の所在の探索や窃取などを行った可能性があるという。Windowsにある「PowerShell」機能が悪用されたことも分かった。


攻撃の流れのイメージ(出典:三菱電機)

 同社では、内部ネットワークに接続する約24万5000台の端末などを中心に、侵入の手口や経路などをフォレンジック調査した。不正な攻撃コード(調査結果では「ファイルレスマルウェア」と表現)などの影響を受けた恐れのある端末は国内外で132台あり、報告が必要と思われる重要情報に関わる端末は国内に9台あった。また、防衛省が取り扱いでの注意を規定した情報は、本来は貸与された紙のまま専用部屋に保管すべきものだったという。しかし、この紙が電子データ化されて端末に保管されていたとされる。

 なお、流出した可能性のある個人情報に関して同社は、既に該当者に報告して、問い合わせに対応しているという。同じく同社関連の情報は技術資料や設備投資計画、月次・週次の進捗報告、受注状況など大半が社内向け資料だったという。

 同社が明らかにした不正アクセスの時系列の状況は下記の通り。


インシデント調査での検証プロセス(出典:三菱電機)

 調査結果を踏まえて同社は、端末およびサーバーでの緊急対策を講じるとともに、多層防御のセキュリティ対策を下記の点でさらに強化するほか、文書管理の徹底や情報セキュリティ体制を強化するとしている。また、4月1日付で情報セキュリティ全般の企画・構築・運営の機能を一元的に担う社長直轄の統括組織を新設するという。


再発防止策(出典:三菱電機)

関連記事

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。