2020年1月30日、NECが外部より不正アクセスを受け、外部へ情報流出した可能性があると複数のメディアが報じました。*1 *2 *3 *4 *5 1月31日、NECは不正アクセス被害を発表しました。ここでは関連する情報をまとめます。
発端は脅威レポート
- セキュリティ企業の脅威レポートに掲載された通信パターンの発生を確認したことが発端。(一部報道では社外からの情報により発覚ともある。)
- 2014年に北陸の子会社のPCがマルウェアに感染し、そこを起点に本社ネットワークに広がった可能性がある。
- 不正アクセス被害を受けていたと公表されたのは3年前の少なくとも半年間(2016年12月~2017年6月まで?)。初期侵入後、内部に感染被害が拡大。未知のマルウェア検知システム等で検知されず。一部のログが消去されたとも報じられている。
社内ファイル約2万8千件に不正アクセス判明
- 不正アクセス被害が確認されたのは防衛事業部門が利用する他部門との情報共有用社内サーバー。
- NECは外部との暗号通信を解読し、サーバーに保存されていたファイル27,445件への不正アクセス事実が判明。
- これらファイルには個人情報、秘密情報(防衛機密に該当する情報はネットワークを遮断した場所に保管)は含まれていない。またNECは流出等の被害事実は確認していない。
- 防衛省が被害確認のため、NECへ職員を派遣しファイルを精査。多くが海上自衛隊関連のファイルであることが確認された。潜水艦用センサーの情報(海上自衛隊)など自衛隊装備に関連する資料も含まれていた。
- 中国系グループ由来の標的型攻撃を受けた疑いがある。
日時 | 出来事 |
---|---|
2014年頃 | NEC子会社(北陸地方)のPCがマルウェアに感染。 |
2016年12月以降 | NECが外部より不正アクセスを受け侵入。 |
2017年6月 | 社内PCより不正通信の発生を検出。調査を開始。 |
2018年7月 | 外部サーバーとの暗号通信の解読に成功。複数のファイルへのアクセスが判明。 |
: | 当該ファイルに関連する顧客へ個別に状況説明 |
2020年1月30日 | 報道各社がNECの不正アクセスを報道。 |
2020年1月31日 | NECが不正アクセス被害を発表。 |
「被害は確認していない」
- 報道各社の取材に対し、NECなどは流出事実は確認していないとコメント。
NEC | ・日頃よりネットワークに対する不正アクセスの試みが疑われる事例が存在する。 ・これまで情報流出事実やその被害は確認していない。 ・情報流出が全くないとは言い切れない。 |
---|---|
防衛省 | ・保護すべき情報の流出事実はない。 ・対象はNECとの契約情報。日本の防衛体制への影響はない。 |
NECの公式発表
Tickを取り上げた脅威レポートで発覚?
2017年6月、セキュリティ企業の脅威レポートに記載された通信パターンの発生有無を確認した結果、社内のPCから不正通信が行われていることを確認し、感染PCの隔離・調査、不正通信先の検知・遮断を実施しました。
- NECの発表中にある2017年6月に「発行された」という説明はないが、同時期にセキュリティ企業が公開し、かつレポート中に通信パターンの説明が付記されているものではSecureworksが2017年6月23日に公開したレポートが該当する。
- 同レポートではTick(BRONZE BUTLER)による活動行為として説明が行われている。
更新履歴
- 2020年1月31日 AM 新規作成
- 2020年1月31日 AM NECのプレスリリースを反映
- 2020年1月31日 AM 続報反映、全体構成を修正
*1:NECにサイバー攻撃 2万件超えるファイルの情報流出か,NHK,2020年1月30日
*2:NECにサイバー攻撃 海自潜水艦情報流出,共同通信,2020年1月30日
*3:NECにもサイバー攻撃 防衛情報が標的か,時事通信,2020年1月31日
*4:NECにサイバー攻撃 防衛装備品の情報流出か,日本経済新聞,2020年1月30日
*5:NECにもサイバー攻撃 情報流出「確認していない」,朝日新聞,2020年1月31日