概要

読売新聞が9/19の朝刊一面で三菱重工がサイバー攻撃を受け、外部から侵入を受けた恐れがあると報じました。夕方に入り、三菱重工からも攻撃の事実を認める公式の通知が出されました。

• サイバー攻撃が発覚した経緯
  • 三菱重工の監視システムで8/11に社内のサーバー異常(再起動を繰り返す)を検知したため。

• 攻撃の経路
  • 標的型メール攻撃により感染したと報道が行われています。また次の発表情報から三菱重工へのサイバー攻撃は震災情報を装った標的型メール攻撃と考えられています。
    • 川崎重工やIHIが三菱重工の件を受けて、標的型メール攻撃があった事実を発表した。
    • トレンドマイクロが自社のBlogにて三菱重工を含む世界４カ国合計８社に対し、標的型メール攻撃が行われたことを発表した。
    • 警察やIPAから標的型メール攻撃に関する注意喚起が行われた。
    • 9/21のスーパーニュース(FNN)で独立総合研究所代表の青山 繁晴氏により標的型メールにより感染したとの解説が行われた。(文字おこしされたものはこちら)

• 三菱重工へ送付された標的型メール(青山 繁晴氏、トレンドマイクロBlogの解説より)
  • 差出人：内閣府実在の人物の名前、メールアドレスも該当人物のもの
  • 添付ファイル名：原発のリスク整理(「例えば」と前置きがあるため一例の可能性もあり)
  • 目的：原発を攻撃する方法を探るために行われた可能性がある。(神戸造船所で原発ストレステストが実施されていたことから)
  • ※ 独立総合研究所やその代表である青山氏にも同様のメールが送付されているとのこと。
  • 参考：誰でもサイバーテロリストになれる時代(WEDGE) 内閣府の人物を装って送付された標的型メールのサンプル掲載有り。
  • 利用された脆弱性：CVE-2011-0611（Adobe Reader、Flash Playerの脆弱性）

• 漏えいした可能性のある情報
  • IPアドレス等の社内システム情報の一部
  • 防衛省からの受注データ(装備品関係)
  • 営業系サーバーにおけるパスワード等のキーログ
  • 管理報告書の一部（８０式空対艦誘導弾等の性能データ）
    ※漏えいした可能性のある情報は防衛省の定める「保護すべき情報」ではないとのこと。
  • 戦闘機、ヘリコプターに関する資料（過去の戦闘機開発の経緯などをまとめた社内の説明用）
  • 原子力発電所の設計や設備、耐震性などに関する情報
  • 社員約2000人の個人情報

• ウィルスの感染が確認されたマシン　83台
  • サーバー 45台
  • 従業員が利用するPC　38台

• 情報漏えいに利用されたとして名前が挙げられているウィルス
  報道によると合計8種類のウィルスを確認しているそうですが、下記ウィルスかどうかは不明です。引用元はITproとTMBlogより。
  • TSPY_DERUSBI.A
  • TROJ_PIDIEF.EED
  • BKDR_ZAPCHAST.QZ
  • BKDR_HUPIG.B
  • BKDR_HUPIGON.ZXS
  • BKDR_HUPIGON.ZUY

• 感染が確認された場所(11箇所)
  • 本社(東京)
  • 神戸造船所(神戸市)
  • 長崎造船所(長崎市)
  • 下関造船所(山口県下関市)
  • 相模原製作所(相模原市) ※陸自の特殊車両生産
  • 高砂製作所(兵庫県高砂市)
  • 岩塚工場(名古屋市)
  • 名古屋冷熱製作所(愛知県清須市)
  • 横浜研究所(横浜市)
  • 長崎研究所(長崎市)
  • 名古屋誘導推進システム製作所(愛知県小牧市) ※ 航空自衛隊の誘導ミサイル制作
  • ※防衛装備品関連の情報が収められたコンピューターが設置されていた場所(他にもある模様)

• 8月の標的型メール攻撃事案とは別に確認されているウィルス感染
  • 2011年1月に年賀状タイプのメールに添付されたウィルス(参考)に、名古屋誘導推進システム製作所の従業員のマシン1台が感染。
  • 2004年発生のAGOBOT、Gumbler、Spyeye、FakeAV等50種超のウィルス感染を確認。1台だけで28種のウィルス感染している端末も確認。

• 三菱重工の件と関連性は不明ながら「標的型メール攻撃」があったと報道された企業
  • IHI
  • 川崎重工業
  • 三菱電機
  • NEC

時系列まとめ

• 2011/4月頃
  • 川崎重工業、IHIが標的型メール攻撃を受けたとされる時期
• 2011/08/11
  • 三菱重工の社内監視システムがサーバーの異常検知。社内調査開始。
• 2011/08/22
  • 三菱重工がウィルス感染の事実を確認。
    2chにもこのような書き込みがあることから、9/3時点で社内に情報が広まっていた可能性あり。
• 2011/08/27
  • 三菱重工よりセキュリティ会社に調査を依頼。
• 2011/09/19
  • 読売新聞が朝刊一面で「三菱重工がサイバー攻撃を受けた」と報道。
  • 三菱重工より16時過ぎに「システム情報(IPアドレス等)が漏えいした可能性があるが、機密情報の流出は確認できていない」とプレスリリース。
  • 三菱重工より防衛省へ夕刻頃、サイバー攻撃を受けたと報告。
• 2011/09/20
  • 三菱重工社長が「大きな被害は確認できていない、具体的調査はこれから」と時事通信の取材に回答。
  • 防衛相が今回の件を受けて、「大事なデータが外部に漏れたとは聞いていないが、管理を徹底してもらうよう指導していく」と閣議後の会見でコメント。
  • 米国大使館 広報担当者が三菱重工の件を受けて、懸念を表明。
  • IHI、川崎重工業も標的型メールによるサイバー攻撃を受けていた事実を公表(ウィルス感染・情報流出無し）
  • ウィルスの接続先が中国であるという報道を受け、中国外務省が定例記者会見の場で「中国が攻撃拠点との見解は根拠がない」と関与を否定。
• 2011/09/21
  • 官房長官が午前の記者会見で「経産省にて被害状況確認する」と発言。
  • 夕方頃、防衛省より三菱重工に対し、報告義務を怠ったとして抗議。
  • 防衛省から重要機密に関わる装備品などの取引ある約100社に対してサイバー攻撃の有無を確認開始。
  • 警察庁が企業を狙った標的型メール攻撃を約８９０件確認しているとして注意喚起(情報流出はなし)
• 2011/09/27
  • 官房長官が三菱重工等へのサイバー攻撃の件を受けて、関係閣僚や民間有識者を含めた「情報セキュリティ政策会議」を開くことを記者会見にて発表。
• 2011/09/29
  • NHKが三菱重工へのサイバー攻撃の詳細を報道。（標的型攻撃であったことが確定的に。）
• 2011/09/30
  • 三菱重工が続報を発表し、警視庁高輪署に被害届を提出。同日受理され、警視庁が不正アクセス禁止法違反等の容疑を方針とした捜査へ。
  • 三菱重工が防衛省へ「機密情報や技術情報の流出は認められなかった」と報告。
• 2011/10/03
  • 官房長官が情報セキュリティ政策会議を10月7日に開催することを記者会見で発表。
• 2011/10/04
  • 「防衛省が重要機密(装備品等)取引のある91社への問い合わせ結果、機密情報の流出は認められなかった」と報道
• 2011/10/07
  • 三菱重工事案等の標的型攻撃への対策を検討するため、情報セキュリティ政策会議が開催。同日国民向けに官房長官よりセキュリティ対策強化の呼びかけ。
• 2011/10/10
  • 8月の標的型攻撃との関連性は不明ながら、複数の感染事案が発生していたことを確認。
• 2011/10/11
  • 防衛省の定める「保護すべき情報」を格納するサーバーへ、ウィルス感染したサーバーからアクセスがあったことを確認。
• 2011/10/14
  • 警察庁の捜査により、標的型攻撃の具体的な手口として、SJACを経由して川崎重工業へ標的型メールが送付されていたことが明らかに。
• 2011/10/18
  • SJACからウィルス感染事案についてのお知らせが発表。
• 2011/10/24
  • 調査を進めた結果、戦闘機、ヘリコプター等の情報が流出した可能性があると報道。三菱重工も情報が社外に流出した可能性があることを発表。
• 2011/11/09
  • 三菱重工が続報として、防衛の「保護すべき情報」の流出は確認されなかったと発表。