piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

ログ消去もされていた三菱電機の不正アクセスについてまとめてみた

2020年1月20日、三菱電機は自社ネットワークが不正アクセスを受け、個人情報等が外部へ流出した可能性があると発表しました。ここでは関連する情報をまとめます。報道によれば現在も三菱電機は不正アクセスへの社内調査等を進めています。

発端は研究所サーバーの不審ファイル動作

  • 2019年6月28日に情報技術総合研究所のサーバーで不審なファイルが動作したことを社内で検知。
  • 同じファイルが中国、及び国内他拠点で検出され内部侵害の被害を受けている可能性を受け調査を開始。

報道された出来事を時系列にまとめると以下の通り。

日時 出来事
2017年後半? 三菱電機の中国国内子会社でマルウェア感染。
2019年3月18日 三菱電機が中国拠点のウイルスバスター法人向け製品の脆弱性を悪用された攻撃を受ける。*1
アップデート機能を悪用し中国拠点で侵害範囲が拡大。
2020年4月3日 中国拠点端末より国内拠点のウイルス対策管理サーバーを侵害。
三菱電機の国内拠点に侵害範囲を拡大。
2019年4月4日 Trend Microがウイルスバスター法人向け製品の脆弱性を修正。
2019年6月28日 情報技術総合研究所のサーバーで不審ファイルを検出。
2019年7月8日 三菱電機が社内ネットワークに不正アクセスされている事実を把握。
2019年7月10日 社内端末の一斉調査により複数拠点侵害の可能性が高いと判断。
2019年7月17日 不正な通信先の遮断。封じ込め完了と判断。
2019年8月1日 保全した端末のフォレンジック調査等の詳細調査を開始。
2019年8月 三菱電機が防衛装備庁にセキュリティ侵害事案について報告。
2019年8月29日 三菱電機がJPCERT/CCへ把握したインディケーター情報を報告。
2019年8月31日 影響を受けた端末のアクセス可能だったファイルの洗い出し作業を開始。流出可能性ファイルの仕分けも開始。
2019年9月10日 Trend Micro、JPCERT/CCがウイルスバスター製品の脆弱性CVE-2019-9489を注意喚起。
2019年10月28日 Trend Micro、JPCERT/CCがウイルスバスター製品の脆弱性CVE-2019-18187を注意喚起。
2019年秋 三菱電機の社内調査により情報流出の可能性が判明。
2019年11月15日 保全端末のフォレンジック調査、通信ログ等の突合調査等を終了。
2020年1月 三菱電機が個人情報保護委員会に情報流出の可能性を報告。*2
2020年1月10日 三菱電機が経済産業省へセキュリティ侵害事案について報告。*3
2020年1月20日 朝日新聞が三菱電機の不正アクセスを報道。
同日 三菱電機が不正アクセス被害を発表。機密性の高い情報の流出は否定。
同日 官房長官が三菱電機の事案について経産省、NISCを中心に引き続き注視する考えをコメント。*4
同日 三菱電機が第二報として個人情報の流出など被害詳報を発表。
2020年2月7日 三菱電機が精査を進めた結果、防衛省機微情報流出の可能性が判明。
2020年2月10日 三菱電機、防衛省が機微情報の流出の可能性が確認されたと発表。
2020年2月12日 三菱電機が不正アクセスの経緯や手口の詳報を発表。

影響は週報から採用応募者の情報まで

流出の可能性のある、または影響が確認されていない情報は以下の通り。*5 *6 *7 *8

外部流出の可能性がある情報 ①個人情報
・従業員4,566人(2012年度実施のアンケート結果)
・採用応募者1,987人(2017/10~2020/4新卒、2011~2016経験採用)
・グループ関係退職者1,569人(企業年金基金所有の情報)

②企業機密情報
・執行役員会議資料
・研究所内で共有された週報
・JR、私鉄、自動車大手、通信、電力企業等数十社との共同開発、商談、製品受注等の取引関連情報
・防衛省、資源エネルギー庁、原子力規制委員会、内閣府、環境省、JAXA等10を超える政府、官公庁とのやり取りに係る情報

③防衛省の機微情報
装備品に関する研究試作入札関連情報で防衛省の定める注意情報に該当。
防衛装備庁が2018年10月30日に貸し出しをした装備品の研究試作に関連する資料
研究試作に関連する総合評価落札方式の評価基準、研究試作への性能要求事項等。
影響の確認されていない情報 ・電力、鉄道等に係る機微情報、機密性の高い技術情報、取引先情報
  • 流出の可能性がある情報での被害、影響は現時点で確認されていない。
  • 影響を受けた件数はログ消去により確定できていないため、最大数が計上されている。
  • 流出の可能性のある個人情報の対象者宛には1月20日より郵送で通知。
  • 影響の確認されなかった情報は別のネットワークで管理していたため被害を免れた。*9 *10
  • 2月7日に防衛省の機微情報流出の可能性が浮上。注意情報に該当するもので「当該事務に関与しない職員にみだりに知られることが業務の遂行に支障を与えるおそれのある情報」として定義されている
  • 防衛省より注意情報を含む文書十数ページ分を貸借し、それをPDFにしてインターネットとつながっているPCに保管していた。
  • PDF化は三菱電機が無許可にやっていたもの。防衛省は保全の徹底とその誓約書の提出も受けていた。
感染の疑いのある端末132台

社内ネットワークに接続されたPC 24.5万台を調査した結果、通信の確認された全端末台数を把握。

感染の疑いの確認された端末 132台
重要な情報にアクセス可能な端末 国内9台、中国拠点確認中

ログ消去され被害範囲確定できず

f:id:piyokango:20200214035805p:plain
不正アクセス事案の概要

  • 不正アクセスは中国関係会社の侵害から始まり、国内14事業部の大半、管理部門の一部などに広まったとみられる。
  • 中間管理職が操作するPCを対象とした不正アクセス行為も発生していた。*11
  • 情報は送信用端末に集約され、数回に分けて外部へ約200MBのデータが送信されていた。
  • 実際に情報が外部へ流出したかについては一部端末でログが消去されていたため確認できなかった。*12
  • マルウェアはPowershellを用いたファイルレスタイプ。Powershellのファイル名はブラウザのものと同じものが設定されていた。
  • 最初に被害を受けた中国関係会社への不正アクセスがいつ頃始まったのかは判明していない。
  • ルーターの脆弱性を悪用して社内PCへの侵入が行われた痕跡があった。*13
原因はウイルス対策システムの脆弱性と発表
  • 三菱電機はウイルス対策システムの脆弱性を突かれた不正アクセスが原因と発表。悪用当時、脆弱性は未修正(ゼロデイ)の状態だった。
  • 三菱電機はウイルス対策システムの具体名を明らかにしない方針。*14報道ではTrend Micro ウイルスバスター法人向け製品と複数報じられている。
  • 悪用されたのは2019年4月修正の脆弱性(CVE-2019-9489とみられる)。ウイルスバスターの管理サーバーが乗っ取られ、アップデート機能の悪用により不正アクセスにつながるファイルが社内PCに配布された。
  • Trend Microによれば脆弱性が悪用されたケースは2件確認している。(具体的な顧客名は非公表)

報道後公表した理由

「Tick」他複数グループによる不正アクセスと報道

  • 三菱電機は6月28日に検出した不審ファイルの調査を通じ過去10年間の攻撃状況を調査。その結果、複数のグループによる攻撃を受けていた可能性があることが判明。*16
  • 朝日は「社内調査」、読売は「関係者」をソースとしている。広報担当者は回答を控える方針の模様。報道当初は今回の不正アクセスをTickが行ったかのように各社から報じられていた。
  • 攻撃の関与が推定されるグループ、その影響は以下の通り。直近の出来事に関わっていたグループはBlackTechとみられている。
攻撃グループ/マルウェア名 攻撃時期(観測時期) 被害の状況
BlackTech 2017年後半~現在? 今回の不正アクセス行為を行ったと報じられたグループ。中国関係会社の侵害後、一端沈静化し2019年になり国内拠点へ侵害を拡大。
Tick 2013年以前~現在? 攻撃時期として最も長期。BlackTech同様に中国関係会社への攻撃が確認されている。
Aurora Panda 2013年頃 攻撃を受けたとだけで、詳細は報じられていない。
Emdivi 2015年6月頃 Emdiviの使用確認とだけで、詳細は報じられていない。
Tickの特徴
  • Tickは中国由来とみられるグループで日本、韓国を攻撃対象とする。命名したのはSymantec。別呼称は「Bronze Butler(Secureworks)」「REDBALDKNIGHT(Trend Micro)」の2つ。
  • グループの活動目的は企業の知的財産情報の窃取と分析されている。また目的達成後は証跡を全て削除する。
  • 使用するマルウェアとしてRATではDASERF、xxmm、Datper等が確認されている。ラテラルムーブメントにはWindows標準コマンドやMimikatz等のクレデンシャル情報を取得するツールを使って内部で侵害を拡大する。
  • SKYSEA Client Viewの脆弱性(CVE-2016-7836)の悪用やUSBドライブを悪用したエアギャップへの展開を行う手口なども報告されていた。

更新履歴

  • 2020年1月20日 PM 新規作成
  • 2020年1月21日 AM 第二報の内容を反映、見出しを一部修正(事実確認できず→被害範囲確定できず)
  • 2020年1月21日 AM 続報反映
  • 2020年1月23日 AM 続報反映
  • 2020年2月12日 AM 続報反映
  • 2020年2月13日 PM 続報反映

*1:ウイルスソフトの欠陥悪用 三菱電機のサイバー攻撃,共同通信,2020年1月22日

*2:三菱電機、サイバー被害だんまり 取引先に半年説明せず,朝日新聞,2020年1月20日

*3:三菱電機サイバー攻撃「速やかな公表検討すべきだった」経産相,NHK,2020年1月21日

*4:菅官房長官「機微の情報流出はない」三菱電機不正アクセス,毎日新聞,2020年1月20日

*5:三菱電機に大規模サイバー攻撃 中国の集団が関与の可能性,共同通信,2020年1月20日

*6:三菱電機、サイバー攻撃を認める 「被害や影響なし」,朝日新聞,2020年1月20日

*7:中国系ハッカー集団、大規模攻撃か…三菱電機の機密や情報流出?,読売新聞,2020年1月20日

*8:三菱電、サイバー攻撃で8千人の情報流出か,共同通信,2020年1月20日

*9:三菱電機にサイバー攻撃 企業機密の流出懸念―個人情報8000人分も,時事通信,2020年1月20日

*10:中国系集団「Tick」の犯行か 三菱電機にサイバー攻撃 8000人分情報流出,毎日新聞,2020年1月20日

*11:【独自】三菱電機にサイバー攻撃 防衛などの情報流出か,朝日新聞,2020年1月20日

*12:三菱電機にサイバー攻撃 中国系か、防衛情報流出恐れ,日本経済新聞,2020年1月20日

*13:【独自】サイバー攻撃4集団 標的の分野・時期は様々,朝日新聞,2020年1月22日

*14:情報流出に揺れる三菱電機、不正アクセスの原因となった製品名は「ノーコメント」,日経 xTech,2020年1月21日

*15:三菱電機にサイバー攻撃 個人情報や機密情報が流出の可能性,ITmedia,2020年1月20日

*16:複数のハッカー集団、攻撃か いずれも中国系 三菱電機,朝日新聞,2020年1月22日