|
テレワークが盲点? 対策の上いく手口 2 段階認証も突破 三菱電機が再び、サイバー攻撃に襲われた。 昨年 6 月の攻撃覚知から約 1 年 5 カ月、またも中国系ハッカーの仕業との見方がある。 同社もこの間、セキュリティー対策の強化を進めてきた。 だがハッカーたちは、さらに上をいく手口で攻撃を仕掛けていた。 複数の関係者によれば 16 日夕方、同社が利用する外部クラウドサービスの監視システムが、通常とは異なる不審なアクセスを検知し、警告を発した。 本社内でしかアクセスしないはずの管理者アカウントで、中国国内に割り当てられた IP アドレス(ネット上の住所)から接続があったためだ。 同社は不正アクセスの発生と判断し、接続を遮断した。 調査の結果、社内ネットワークの管理や保守を担当する従業員の管理台帳ファイルを盗み取ろうとしていた形跡が見つかった。 接続元の IP アドレスを手掛かりに調べたところ、新たに 2 人の社員アカウントからの接続も見つかった。 いずれもクラウドサービスの管理を任されている社員のものだった。 ハッカーに社内情報が握られているのは確実だった。 標的となったクラウドサービスは、米マイクロソフト社の「マイクロソフト 365」だ。 このサービスは、ワードやエクセルといったソフト利用や、ファイル共有サービスなどを利用する権利を月額課金で提供する。 世界中の企業が導入し、「高度な攻撃やデータ漏洩を検出」とセキュリティー対策の提供も売りにする。 それがハッカーの手に落ちた。 三菱電機ではさらに厳重なセキュリティー対策を講じていた。 マイクロソフト 365 の利用に必要な ID とパスワード認証に加え、社内ネットワーク内での本人認証システムをパスしなければ利用できない「2 段階認証」を採り入れていた。 ところがハッカーは、認証システムが発行する「電子チケット」を手に入れ、中国国内に割り当てられた IP アドレスから、やすやすと侵入してきた。 入手経路は全く分かっていない。 関係者「タイミングは最悪だが …」 一方で、コロナ禍に伴うテレワーク対策が盲点となった。 4 月の緊急事態宣言後、本社内からしか利用できないはずのマイクロソフト 365 を、外部のインターネットからも利用できるよう一部制限を緩めていた。 それが今回の不正アクセスで狙われた、社内情報の共有システムだった。 20 日に同社が公表したプレスリリースによると、取引先に関する金融機関の 8,635 口座の情報流出が判明したという。 関係者によれば、他にも流出したと考えられる情報があり、社内調査が続いている。 同社は 19 日、警視庁や内閣サイバーセキュリティセンター (NISC) に被害状況を報告。 同日深夜の会議で、20 日午後に公表する方向で動くことを決めた。 早い段階で公表に至った背景には、前回の対応への反省があるとみられる。 昨年 6 月末に発生し、今年 1 月の朝日新聞報道で発覚した三菱電機へのサイバー攻撃では、公表まで半年を要していたことが問題となった。 この日は折しも、経済団体や企業がまとまってサイバーセキュリティー対策に取り組む情報共有組織が発足し、総会が開かれた日と重なった。 関係者は言う。 「タイミングとしては最悪だが、すべてを明らかにして前に進みたい。」 同社を襲った前回のサイバー攻撃は、社内のパソコンから見つかったウイルスなどの解析で、中国系ハッカー集団「BlackTech (ブラックテック)」の関与が疑われている。 発覚のきっかけは「ずさん」な振る舞い 同社は今回も、中国系ハッカーが関与したとの見方を強めている。 ただ前回と異なるのは、ウイルスなど不正プログラムを使った痕跡がなく、正規の利用者と同じ手順を踏んで接続していることだ。 そこから異変をつかむことは容易ではない。 ハッキングの痕跡が見つからない今回のサイバー攻撃について、NTT データのセキュリティー専門家、新井悠さんは「利用者本人と見分けがつかず、攻撃者の特定も難しい。 セキュリティー業界が最も危険視する、恐ろしい攻撃だ。」と指摘する。 こうした手口は最近のブラックテックが関係する攻撃でも見つかっているといい、「前回のサイバー攻撃の流れをくんでいる可能性がある」と語る。 高度な手口を見せつけたハッカーだが、発覚のきっかけは「ずさん」としか言いようがない振る舞いだった。 ハッカーは、中国国内に割り当てられた IP アドレスから不正アクセスを試みた際、三菱電機社内でしか接続しない管理者専用のアカウントを使った。 「信頼できない接続先からアクセスがあった」として、監視システムが警告を発した。 「なぜ簡単にばれるような手段に出たのか。」 新井さんも首をかしげる。 (内藤尚志、編集委員・須藤龍也、asahi = 11-20-20) 三菱電機にまたサイバー攻撃、取引先の口座 8 千超流出 三菱電機がサイバー攻撃を受け、取引先の住所や銀行口座といった情報が外部に流出した。 昨年も大規模な攻撃を受け対策を強めていたが、再び被害にあった。 国の安全保障やインフラを支える大手メーカーが、くり返し狙われている一端が浮き彫りになった。 三菱電機は 20 日、不正アクセスによって、代金の支払先になっている金融機関 8,635 口座の情報が流出したと発表した。 取引先の名称や代表者、電話番号などが含まれている。 大企業から個人事業主まで幅広く、各社に連絡を始めているという。 専用の問い合わせ窓口は、フリーダイヤル 0120・001・463 (平日、土日祝日とも午前 9 時 - 午後 5 時半)。 三菱電機は会見はせず、発表文で流出の原因などは「調査中」だとしている。 「情報セキュリティー体制強化に取り組む中、不正アクセスが発生し、対象となる国内お取引先には、多大なるご迷惑とご心配をおかけすることを、深くおわび申し上げます」とした。 不正アクセスを検知したのは 16 日だという。 被害は調査が進むにつれて、ふくらむ可能性がある。 経済産業省や警察などにも相談して解明をめざす。 昨年の攻撃は、今年 1 月の朝日新聞の報道で明らかになった。 機密性の高い防衛や、鉄道や電力関連などの取引先の情報が流出したおそれがある。 三菱電機が不正アクセスを把握し、中国系ハッカー集団の関与も疑いながら、報道されるまで半年も公表していなかったことも問題となった。 当時の調査では、国内外のパソコンやサーバーなど 132 台でウイルス感染の疑いを確認した。 ネットワークへのアクセス制限を強化し、社長直轄の組織をつくるなどしたが、被害の再発を防げなかった。 複数の関係者によると、今回も中国系ハッカーの関与が浮上している。 攻撃側の手口が巧妙化したことも考えられる。 三菱電機が利用している米マイクロソフトのクラウドサービスで不正アクセスがあった。 重要情報につながる ID やパスワードが盗まれていた。 コロナ禍でテレワークを広めるため、接続の制限を緩めたところを狙われた可能性もある。 三菱電機は社員にパスワードの変更を指示したという。 日本の大企業では今年に入り、サイバー攻撃の被害が相次いでいる。 ゲーム会社のカプコンは今月、最大で約 35 万件の社外の個人情報が流出した可能性を公表した。自動車メーカーのホンダは 6 月に社内システムに障害が発生し、海外の 9 工場が一時止まった。 (内藤尚志、編集委員・須藤龍也、asahi = 11-20-20) 最新鋭ミサイルの性能情報漏洩か 三菱電機サイバー攻撃 三菱電機への大規模なサイバー攻撃で、防衛省が研究している最新鋭兵器「高速滑空ミサイル」の性能に関する情報が、同社から漏洩した疑いが強いことがわかった。 防衛省や防衛産業へのサイバー攻撃で、特定の装備に関する情報流出の疑いが発覚するのは異例。 防衛省で安全保障上の影響などを調査している。 高速滑空ミサイルは、複雑な軌道を描いて超音速で長距離滑空し、敵のミサイル防衛網をかいくぐり、目標を精密攻撃する。 中国、ロシア、米国などが開発を進め、防衛省も 2018 年度から装備化に向けて研究に着手している。 政府関係者によると、防衛装備庁が、その試作の発注先を入札で決めるのに先立ち、三菱電機を含む複数の防衛産業に貸し出した「性能要求事項」が、サイバー攻撃で漏洩した可能性が高いという。 入札の結果、試作を受注したのは三菱電機とは別の防衛産業だった。 性能要求事項には、射程や耐熱性、推進力などが記されているとみられる。 今後の開発過程でミサイルの性能が変わりうることなどから、特定秘密保護法で指定する「特定秘密」などの対象ではない。 ただ、「防衛業務の遂行に支障を与える恐れがある」とした「注意情報」に該当。 防衛装備庁は三菱電機にも情報保全の徹底を誓約させていた。 三菱電機への一連のサイバー攻撃で、同社は当初、採用応募者らの個人情報や営業・技術に関する社内情報流出の可能性があると公表する一方、「機微な情報は流出していない」としていた。 ところが、2 月 10 日に一転して「防衛省の『注意情報』が含まれている」と説明を変更。 漏洩の中身については明かしていなかった。 防衛省は他にも防衛装備の機微な情報が流出した可能性があるとみて調査を進めている。 中国系ハッカー暗躍、国家も関与か 高速滑空ミサイルに関する情報が漏れている - -。 最新鋭兵器の性能に関わる情報流出に、政府関係者は「極秘でないとはいえ、将来の日本の防衛能力の手の内に関わる機微な情報だ」と憤りを隠せない。 三菱電機へのサイバー攻撃は昨年 6 月、社内調査で発覚。 ハッカーは中国の関係会社の通信装置や三菱電機内のパソコンのソフトウェアの欠陥を探し出し、それを突破口に社内ネットワークに潜り込んでいた。 ウイルスの痕跡も残さず、対策ソフトも回避する高度な技術を持つハッカーは誰か。 侵入者として「ブラックテック」と「ティック」という中国系ハッカー集団が浮かんだ。 三菱電機は同社の技術を狙った「産業スパイ」との見方を強める。 一方、攻撃には防衛や重要インフラを狙う国家が関与したとの見方もある。 2 月、防衛や警察、公安関係者がひそかに集まった勉強会では、三菱電機へのサイバー攻撃がテーマだった。 配布資料に深刻さが浮かぶ。 ブラックテックは武漢、ティックは上海に拠点がある中国軍の部隊と連携し、いずれも軍の監督指揮下にあると分析。 2015 年末にサイバーや宇宙、電磁波の部隊を統合して設立した「戦略支援部隊」の動向を注視すべきだとの意見も出た。 戦闘と組み合わせる「サイバー戦争」警戒 米連邦捜査局 (FBI) が「中国ハッカーがワクチン情報を狙い、サイバー攻撃をかけている」と警告。 世界的に「コロナ」をめぐってサイバー攻撃の応酬が加速している。 情報漏洩やスパイ行為など日常的な攻撃は犯罪に分類されがちだ。 だが、サイバー攻撃を通じて相手のネットワークの弱点を探り、紛争時にそこを突いて戦闘を優位に進める、国家間の「サイバー戦争」に発展することもある。 「その時は小さな事件に見えても将来の攻撃への準備と見ることができる。」 米軍情報機関トップは米議会でそう訴えてきた。 通常攻撃とサイバー攻撃を組み合わせた「マルチ・ドメイン(多次元)戦闘」で知られるのが、07 年のイスラエル軍によるシリア空爆だ。 「オーチャード作戦」と呼ばれる。 シリア国内で北朝鮮の協力で製造した核施設を、イスラエル軍の F15 戦闘機などが空爆して破壊。 だが、シリア軍は自国の領空に侵入してくる戦闘機を迎え撃つこともできない。 最先端のはずのロシア製防空システムの画面には「敵機」の標的すら映らない。 それはイスラエルがサイバー攻撃でシリア軍の防空システムを乗っ取り、その画面に「空白の映像」を送り込んでいたためだった - -。 ジョージ・W・ブッシュ政権で大統領特別補佐官(サイバー担当)だったリチャード・クラーク氏は自著でこんなエピソードを紹介し、「こういう事態こそが、サイバー戦争だ」と語った。 空爆をめぐっては当初、イスラエルはその事実すら認めず、シリアも核施設建設が明るみに出るのを嫌ってか、表立った批判もしない。 イスラエルが空爆の事実を正式に認めたのは 11 年後の 18 年。 サイバー攻撃には、米空軍が開発し、敵の防空システムに侵入して制御を奪う「スーター」というサイバー兵器との関連も指摘されるが、イスラエルはサイバー攻撃について沈黙を続けている。 日米は 15 年の防衛協力の指針に初めて「サイバー」を盛り込み、「日米両政府は緊密に協議し、適切な協力行動をとる」とした。 これを受け、18 年策定の日本の防衛大綱では「サイバー防衛能力の抜本的強化」をうたい、有事でのサイバー攻撃能力保有に向けた模索を始めている。 (編集委員・須藤龍也、同・佐藤武嗣、asahi = 5-20-20)
◇ ◇ ◇ 中国ハッカーに握られた社内 PC 特命チーム暗闘の全貌 今年1月に朝日新聞の報道で明らかになった三菱電機へのサイバー攻撃では、防衛に関する機密や個人情報が流出していたことが分かった。 三菱電機は 2 月に事実関係を公表し、攻撃の概要が見えてきた。 ただ、そこには触れられていない事実がいくつもある。 その後の関係者への取材などで得た情報と合わせ、中国系ハッカー集団が仕掛けたとされる高度なサイバー攻撃の全体像を詳報する。 書き換えられた実行ファイル 最初の「異変」を捉えたのは、人工衛星や航空、レーダーシステム、防衛などの情報通信技術を研究する同社の中枢にある 1 台のパソコン (PC) だった。 2019 年 6 月 28 日午後 4 時 45 分、神奈川県鎌倉市にある三菱電機の情報技術総合研究所で、PC にインストールされていたウイルス対策ソフト「ウイルスバスター」が不審なファイルの挙動を検知した。 その内容とは、ウェブブラウザーのグーグルクロームと同じ名前の実行ファイルが、本来は存在しないはずの場所 (C:¥ProgramData¥chrome.exe) で作動した、というものだった。 社内でファイルを調べると、サイズも中身もクロームとは全くの別物。 クロームの名前に書き換えられた「何か」だった。 三菱電機には、サイバー攻撃の兆候が見つかると調査と対策に乗り出す専門のチームが存在する。 「CSIRT (Computer Security Incident Response Team = シーサート)」と呼ばれ、世界の大手企業や行政機関を中心に即応体制の強化を目的にこうしたチームが相次いでつくられている。 三菱電機シーサートのメンバーは、ウイルスバスターの開発元である情報セキュリティー大手トレンドマイクロに不審なファイルを送り、解析を依頼した。 ところが、解析結果は「異常なし」。 ファイルの実体は、ウィンドウズに元々インストールされているコマンド実行プログラム (Powershell.exe) だったというのだ。 そのプログラムがなぜ、クロームの名前に書き換えられ、本来と異なる場所に存在し、実行されようとしていたのか。 セキュリティー会社が見逃したもの 「これが正常なわけないだろう!」 シーサートのメンバーは、トレンド社の見解を受け、独自に調査することを決めた。 この判断が、三菱電機始まって以来という大規模なサイバー攻撃を見つけ出すきっかけにつながった。 サイバー攻撃を受けたかどうかを調べるには、パソコンの挙動やネットワークへのアクセス手順を記録した「ログ」を追跡するのが基本だ。 これにより、不審なファイルがいつ作成され、何をしようとしていたのか、時系列でつぶさに追うことができる。 時には数億件単位のログを追う、根気のいる作業でもある。 作業の結果、不審なファイルが見つかった 10 日後の 7 月 8 日、過程の一端がおぼろげながら見えてきた。 同じ研究所内にある別の PC が、外部から何者かに操られていた痕跡が見つかった。 それは最初に不審なファイルが見つかった PC にアクセスし、7 月 1 日にはまた別の PC を経由して、所内にある 4 台のサーバーにアクセスしていたことが判明した。 外部から不正アクセスを受けたのは間違いなかった。 ただ、いずれの PC からも、この段階でウイルスを見つけることができなかった。 後に判明するが、ハッカーは当時、これまでにない最先端の攻撃手法を使っていた。 ハッカーとの知恵比べが始まった。
「妙案」で対抗 不正アクセスと断定した後の三菱電機の動きは素早かった。 調査チームのシーサートは、不正アクセスが全社内に広がっている最悪の事態を想定し、水面下で調査を続けるべきだと主張。 上層部も即断した。 ただ問題は、同社の国内外の拠点に存在する、約 24 万 5 千台にものぼる PC やサーバーへの調査方法だった。 これに対し、シーサートには一つの妙案があった。 不正アクセス発覚の端緒となった同じ種類の不審なファイルを、PC やサーバー内から見つけ出すことで、大まかな状況が把握できないだろうか - -。 そうすれば、膨大なログを追わなくても手っ取り早く見つけられる。 不正アクセスはこの瞬間も続いているとみられていた。まさに時間との闘いだった。 24 万 5 千台の PC からファイルを素早く見つけ出す方法も、めどがついていた。 大企業では従業員の PC が集中管理されていることが多く、三菱電機も例外ではなかった。 センターで指令を出せば、従業員の手を煩わせることなく、PCが自動的に不審なファイルを検索することができるはずだ。 不審なファイルが見つかれば、その PC の所属などから不正アクセス被害の広がりがおおよそ把握できるとシーサートは見込んだ。 7 月 10 日、その狙いは的中した。 だが、それは暗然たる結果を目の当たりにすることにつながった。 社内の多くの組織から、不審なファイルが見つかったのだ。 国内外の PC から少なくとも 24 台。 すでに削除されているものは見つからないため、ハッカーに侵されたPCはさらに増えると推定された。 それでも、調査の対象が絞り込めたのは幸運だったと言える。 不審なファイルが見つかった PC の通信先を徹底して調べれば、世界のどこかにいるであろうハッカーとの怪しいやりとりを、まずは遮断できるかもしれない。 数日後、怪しい通信が見つかった。 履歴からは、マイクロソフトとグーグルのクラウドサーバーに、社内の PC が頻繁にそれぞれやり取りを重ねていたことが見て取れた。 中国や東南アジア、北米にあるとされるサーバーから発信されていた。 いずれも三菱電機では契約していないサーバーだった。 通信の詳しい内容は不明だが、シーサートはハッカーが外部から PC に何らかの指令を出し、遠隔操作している状況証拠と判断。 7 月 17 日までに通信を遮断した。 少なくとも日本国内では、初期の封じ込め作業は成功した。 一筋の光明が見えた。 不審ファイルの洗い出し調査は思わぬ収穫をもたらした。24 台のPCから検出されたファイルの作成日を時系列で並べたところ、昨年 3 月以降に相次いでファイルが作られ、当初は中国にある関係会社の PC に集中していたことがわかった。 つまり、ハッカーの侵入は中国の同社拠点を皮切りに、日本に入ってきたことを示唆していた。 ハッカーの攻撃シナリオが徐々に見えてきた。 ウイルス対策ソフトに潜む「未知の欠陥」 シーサートはハッカーの動きを追い詰めるべく、さらに調査を進めた。 まずはハッカーがどのように中国拠点に侵入できたのかを調べる必要があった。 PC に作成された不審なファイルを手がかりに、過去にさかのぼって PC の動作を調べると、驚くべきことが判明した。 PC に導入されていたウイルスバスターが、不審なファイルの生成に関わっていたのだ。 正確に言えば、ウイルスバスターが新たなウイルスに対抗するワクチンに相当する「パターンファイル」を外部から受け取った後、ファイルが作られていた。 その原因は、ウイルスバスターに潜んでいた未知の欠陥だった。 ログを追いかけていたシーサートのメンバーは一瞬、目を疑った。 シーサートの調査からさかのぼることおよそ 3 カ月の昨年 4 月 4 日、トレンドマイクロはウイルスバスターの法人向け製品に深刻な欠陥(共通脆弱性識別子 CVE-2019-9489)が見つかったと発表していた。 法人向けのウイルスバスターは、導入された社内の PC を監視する管理サーバーが存在する。 そのサーバーに欠陥があり、外部から乗っ取られる危険性が見つかったとして、トレンド社は修正版の導入を緊急に呼びかけていた。その欠陥がすでに悪用されていたのだった。 ハッカーは三菱電機の中国拠点のネットワークに侵入すると、昨年 3 月 18 日に管理サーバーを乗っ取った。 そして、あらかじめ用意した偽のパターンファイルを中国拠点内の PC が受け取るよう、ウイルスバスターの設定を変更した。 PC は偽のパターンファイルを受け取ると、ファイルに含まれていた不正なプログラムを実行した。外部からウイルス本体を PC 内に呼び込む「ドロッパー (Dropper)」だった。 ドロッパーは、外部からファイルを取り込む役割しかなく、ウイルス対策ソフトが検知しづらい。 サイバー攻撃ではよく使われる「二段構え」の手口だ。 ところが、今回の攻撃はさらに手が込んでいた。 ドロッパーはウィンドウズに元々インストールされているコマンド実行プログラム (Powershell.exe) を使い、ウイルスを直接 PC のメモリーに読み込ませ、実行していた。 つまり、ダウンロードしたウイルスをハードディスクなどに保存しなかった。 PC の電源を切ればウイルスは消滅する。 痕跡がなくなるのだ。 発覚直後、シーサートの調査でウイルスが見つからなかったのは、これが原因だった。 それは「ファイルレス(ファイルが存在しない)マルウェア」と呼ばれるタイプのウイルスだった。 当時、サイバー攻撃の最先端とされる手法だった。 こうしてウイルスに感染した同社の PC は、次々とハッカーの手に落ちた。 遠隔操作によって、北京、上海、香港など複数の中国拠点に感染が広がっていった。 攻撃の手、中国拠点から日本へ 4 月 3 日、ついに日本の拠点にも被害が及んだ。 ハッカーが遠隔操作した中国拠点の PC から、日本国内にあるウイルスバスターの管理サーバーが乗っ取られた。 中国の時と同様に偽のパターンファイルがばらまかれた。 ウイルス感染の被害は 132 台の PC に及んだことが、三菱電機の公表資料に書かれている。 トレンド社がウイルスバスターの欠陥を公表するのは、この翌日のことだ。 朝日新聞は三菱電機へのサイバー攻撃を報じた翌日の今年 1 月 21 日、トレンド社に対し事実確認を求める質問状を送った。 トレンド社は、この欠陥を悪用したサイバー攻撃を 2 件把握したことを明らかにしたが、三菱電機への攻撃が該当するかどうかは回答しなかった。 他にも何件か質問をしたが、「個別の企業や団体に関する情報は当社からお答えできない」と返答した。 つまり三菱電機以外にも、被害を被った組織が少なからず存在するということだ。本来ならば、こうした調査結果はトレンド社が自ら責任を持って公表すべきだろう。 未知の欠陥を悪用するという、ハッカーの驚くべき手口はほかにも見つかった。 それは、「仮想プライベートネットワーク (VPN)」と呼ばれる通信装置に潜んでいたものだった。 VPN とは、社内ネットワークとインターネットをつなぐ接続口のような役割を持ち、自宅に居ながらにして社内に簡単にアクセスできるようになる手段だ。 VPN 装置同士をつなげば、それぞれの拠点が結ばれ、一つの社内ネットワークを形成できる。 三菱電機はこのために VPN 装置を導入していた。 ハッカーは中国国内にあるデータセンターに設置されていた VPN 装置に目をつけた。 装置の欠陥を突き、三菱電機の中国拠点のネットワークに侵入することに成功した。 これがサイバー攻撃の起点となった。 なぜ、この装置の存在をハッカーが知ったのか、シーサートには当時、見当がつかなかった。 複数の海外メーカーの VPN 装置に相次いで欠陥が明らかになったのは、ハッカーが侵入してから半年以上後のことだ。 開発元が公表するより前だったり、場合によっては把握すらできていなかったりする時期に、ハッカーはウイルスバスターと VPN 装置の欠陥を把握し、サイバー攻撃という「実戦」に導入していた。 いったい、このハッカーの正体は何者なのか。 中間管理職の PC、標的に 三菱電機の関係者は言う。 「調査が進むほど、ハッカーが社内を掌握していた実態が見えてきた。 恐ろしい連中だ。」 ハッカーはマイクロソフトが提供する、組織内の PC とユーザーを管理するシステム「アクティブディレクトリ (Active Directory)」から、社員の情報を不正に入手し、どの PC にも入り込める権限を得ていた。 これらの情報を使い、やみくもに社員の PC に入り込むのではなく、より重要な情報にアクセスすることができる中間管理職クラスの社員を狙って不正アクセスを繰り返していたようだった。 一方で、社員の権限でアクセスできる PC やサーバーの情報には、根こそぎアクセスしていた痕跡があった。 PC には片っぱしから遠隔操作を試した跡もあった。 盗み取った情報は、送信用の PC に集約し、数回に分けて外部に送っていた痕跡が見つかった。 その際「7zip」と呼ばれる圧縮ソフトでデータを暗号化していた。 関係者の一人によると、ハッカーは遠隔操作をするウイルスの通信経路や情報の外部送信用の PC を複数用意するなど、攻撃の一つが検知されても攻撃が持続できるような仕掛けを施していた、という。 「繊細かつ貪欲。」 ハッカー集団について、そんな評価をした関係者もいた。 そんな中、シーサートがあるハッカー集団に着目した。 ある外資系セキュリティー企業に調査を依頼するなかで、その名前は浮かび上がってきた。 「BlackTech (ブラックテック)」、別名「ブラックパイナップル」などとも呼ばれる。 日本の情報セキュリティー会社マクニカネットワークスは、こうした中国系のサイバースパイ集団を長年調査している。 マクニカ社によれば、ブラックテックは 2011 年ごろから台湾を標的にした活動を展開し、17 年ごろに日本を狙うようになったという。 この「17 年」には、三菱電機でも今回のサイバー攻撃につながる奇妙な出来事が起きていたことが後に判明する。 ブラックテックがこれまで標的とした産業は、「海洋工学」、「IT サービス」、「重工業」、「重要インフラ」、そして「電機」だったという。 まさに、三菱電機はブラックテックのターゲットとして、狙われるべくして狙われたと言える。 マクニカのリポートには、さらに注目すべき記述がある。 「ターゲット分野が(別の中国系ハッカー集団) Tick と重複している」というのだ。 「Tick (ティック)」もサイバースパイ集団として、日本の産業を長らく標的にしてきたとされる。 これらの傾向は三菱電機への攻撃にも当てはまる。 シーサートのメンバーは、調査と対策が一段落した昨年秋、過去 10 年にわたり社内の PC などから検出されたウイルスを分析した。 社内のセキュリティー対策を根本から見直すための足がかりだった。 その結果、ブラックテックの攻撃が実は 17 年後半から起きていたことや、ティックにも 13 年以前から狙われ続けてきたことが浮かび上がってきた。 過去には別の 2 グループ(「AuroraPanda (オーロラパンダ)」、「Emdivi = APT10」)の攻撃も観測していた。 いずれも中国系サイバースパイ集団と目されているグループだ。 この調査結果を見た三菱電機幹部は言う。 「数あるサイバースパイの中で、弊社に攻撃を仕掛けてきたのは特定のグループに限っていた。 しかも長期にわたっている。 防衛や秘匿性の高い通信技術など国益にも直結する弊社の事業内容を考えれば、ハッカーの背景や中国政府とのつながりなど、日頃からもっと踏み込んだ分析と対策が必要だったと思う。」 ハッカーを特定する作業を「アトリビューション (Attribution)」という。 攻撃の手口を分析することでハッカーの背景を知り、次の攻撃に備える意味合いがある。 インテリジェンス(諜報)や安全保障分野ではおなじみの概念だが、サイバーセキュリティーの分野にも近年、採り入れられている。 今や両者とも、切っても切り離せない関係にある。 安全保障に詳しい専門家は、ブラックテックとティックについて、いずれも中国人民解放軍の監督指揮下にあり、中国の産業政策に基づいてスパイ活動を手助けすると指摘する。 本当だとすれば、日本の防衛や重要インフラを担う三菱電機がこうしたハッカー集団に狙われたとしても、何ら不思議はない。 中国系ハッカー集団と中国政府との関わりは、欧米の政府機関やセキュリティー企業などからたびたび指摘されている。 こうした指摘に対し、中国政府は「西側の陰謀」などと真っ向から否定する。 発覚は「たまたま」 三菱電機へのサイバー攻撃は、昨年 6 月 28 日、1 台の PC にインストールされていたウイルスバスターが、不審なファイルの挙動を検知したことで発覚した。 不審なファイルをウイルスバスターは検知したが、ファイルを調査したトレンド社は「異常なし」と判断した。 他の PC からも不審なファイルは見つかっているが、検知できていない。 「検知は偶然、としか言いようがない」と三菱電機の関係者は言う。 だが、ブラックテックの侵入については「思い当たる節があった」とこの関係者は証言する。 実は三菱電機は過去にも中国拠点を経由した不正アクセス被害を受けていた。 17 年、日本側拠点にある一部の検証用サーバーに不正アクセスの痕跡が見つかった。 「この時に徹底した調査や対策が行われていなかったため、一体何が原因なのかよくわかっていない状況だった。」 証言は続く。 「今回のサイバー攻撃が、過去の被害の延長だったかもしれないが、今となってはわからない。 弊社の調査はこれまで中途半端なことが多かった。」 その後、シーサートのトップが交代し、セキュリティー対策が根本的に見直されるようになったという。 三菱電機は、シーサートのトップに日本を代表するセキュリティー会社のすご腕エンジニアだった人物を据えた。 課題が山積していた三菱電機のセキュリティー対策の中で、トップが特に問題視していたのが、海外拠点とのネットワークの接続口だった。 それも中国拠点が狙われた際の「危うさ」だったという。 海外拠点と日本側を結ぶ社内ネットワークの対策強化を三菱電機が打ち出したのは昨年 4 月。だがその前月に、中国の拠点はハッカーの侵害をすでに受けていたことが、公表資料で明らかになった。 あと一歩、届かなかった。 (編集委員・須藤龍也、asahi = 5-8-20) ◇ ◇ ◇ 三菱電機へのサイバー攻撃、VPN 装置にハッキングか 三菱電機への大規模なサイバー攻撃で、不正アクセスの起点が「仮想プライベートネットワーク (VPN)」と呼ばれる通信機器へのハッキングだった可能性が高いことが複数の関係者への取材で分かった。 ネットワークに侵入した中国系ハッカー集団「BlackTech (ブラックテック)」が、防衛に関する機密や個人情報を流出させたとされる。 VPN は、新型コロナウイルス対策のため自宅などでのテレワークが広がる中、社外のパソコンを社内ネットワークに接続する手段として急速に利用が進んでいる。 VPN 装置が外部から不正侵入を受けるリスクについては、米国の政府機関などが今年 3 月、厳重なセキュリティー対策を講じるよう警戒を呼びかけていた。 三菱電機への侵入は同社の公表資料から昨年 3 月以前とみられ、すでに被害が広がっていたとみられる。 三菱電機へのサイバー攻撃は朝日新聞が 1 月に報じた。 2 月に三菱電機が公表した攻撃の概要によると、同社の中国にある拠点でパソコンにコンピューターウイルスの感染が広がり、そこから日本国内の本社へ感染が拡大した。 ウイルスはハッカーの遠隔操作を受け、社内の PC やサーバーに不正アクセスを繰り返していたという。 概要では、VPN の仕組みやハッカーの侵入経路については触れられていない。 三菱電機は VPN 装置へのハッキングについて、「不正アクセスの詳しい手口は、自社のセキュリティー体制にもかかわるため、回答は差し控えさせていただく(広報)」としている。 同社の複数の関係者によると、中国拠点の PC で外部との不審な通信がないか調べたところ、中国国内にあるデータセンターに設置された VPN 装置に不正アクセスの痕跡が見つかったという。 装置は中国など海外の拠点と日本の拠点をネット回線を介して互いにつなげる役割がある。 この装置へのハッキングが社内ネットワークへの侵入のきっかけだったとみている。 その手口などから、VPN 装置に侵入したのはブラックテックだと同社はみているという。 情報セキュリティー大手のトレンドマイクロが 2017 年 7 月、VPN を悪用するこのハッカー集団の調査結果を明らかにしていた。 欧米の複数のセキュリティー企業は、装置やソフトウェアに潜む未知の欠陥を悪用するなど、国家を背景に持つ高度なハッカー集団だとして、中国人民解放軍との関係を指摘する。 (編集委員・須藤龍也、内藤尚志、asahi = 5-2-20) ◇ ◇ ◇ 狙われた VPN、三菱電機ハッキングの背後にちらつく影 三菱電機に対する大規模なサイバー攻撃で、社内ネットワークへの「侵入口」となったとみられるのは、仮想プライベートネットワーク (VPN) 装置だったことが朝日新聞の取材で明らかになった。 離れた拠点同士や自宅のパソコンと会社のネットワークを安全につなぐ便利な手段である一方、厳重なセキュリティー管理が求められる。 ところが世界ではすでに、VPN から侵入されたとみられる深刻な被害が起きていた。 背後にはある集団が見え隠れする。 VPN 装置に見つかった致命的欠陥 ハッカーに狙われているのは、新型コロナウイルス対策に追われている海外の公共機関や企業だ。 データがハッカーによって暗号化され、解除のために金銭を要求される「ランサムウェア(身代金ウイルス)」の被害に遭うケースが続発している。 NTT データのセキュリティー専門家、新井悠さんによれば、米イリノイ州公衆衛生当局のシステムが今年 3 月、動作不能に陥った。 電子カルテなど一部のデータは復活できたが、全てのデータを復元させるため、当局は 35 万ドル(約 3,700 万円)をハッカーに支払わざるを得なかったという。 身代金支払いを拒否したため、盗まれた機密情報を暴露される二重の被害にあったケースもあった。 カリフォルニア州のバイオテクノロジー企業「10X Genomics」は、身代金をめぐるハッカーとの交渉が決裂。 ハッカーはネットの闇サイトに同社のデータとされる膨大なファイルを公開した。 サイトには他に支払いを拒否したとみられる企業の名前とデータが列挙されていた。 企業などへの侵入経路として、ハッカーは昨年夏以降、世界各地の VPN 装置に攻撃を仕掛けていた。 複数の海外メーカー製の VPN 装置に致命的な欠陥が見つかり、修正版を導入しなければ不正アクセスにつながる恐れが生じたためだ。 新井さんは「暴露されたデータの中に日本企業は確認できていないが、日本もこの渦にいつ巻き込まれてもおかしくない状態だ」と警戒を呼びかける。 新型コロナの感染拡大でテレワークは必須になった。 そのために不可欠な VPN はますます、ハッカーの格好の標的といえる。 米マイクロソフトは今年 4 月、「(ハッカーが)世界的な危機を悪用している」として VPN 装置のセキュリティー対策が済んでいない医療機関などに注意を促す異例の取り組みを始めた。 公安関係者「こんなことできるのは …」 三菱電機にサイバー攻撃を仕掛けたとされる中国系ハッカー集団「BlackTech (ブラックテック)」も、VPN の欠陥を突いたとみられている。 正確な時期は分かっていないが、同社の公表資料には攻撃を最初に確認した時期として VPN の欠陥が公表される半年以上前の「昨年 3 月」と記されている。 ネットワークへの侵入はそれ以前だった可能性が高い。 当時、VPN 装置の欠陥については開発元も把握していなかった可能性がある。 こうした「0day (ゼロデイ)」と呼ばれる未知の欠陥を高度なハッカーは見つけ出す。 ネットの闇市場で億単位の価格で取引されるときもある。 中国系ハッカー集団の動向を調査する日本の公安関係者は言う。 「ゼロデイを探し出す専門のハッカー部隊がいるとしか思えない。 こんなことができるのは、政府が背景にいるサイバースパイ集団ぐらいだろう。」 情報セキュリティー大手マクニカネットワークス(横浜市)の政本憲蔵さんは「VPN は認証が通れば、直接組織のネットワークに侵入できてしまう。 問題は深刻だ。」と指摘する。 ハッカーはこれまで、ウイルスを仕込んだメールや記憶媒体を使ったり、閲覧しただけでウイルスに感染するウェブサイトを悪用したりする攻撃を主な突破口にしてきたが、VPN 装置の欠陥を突くという「第 4 の手法」を採り入れたと政本さんはみる。 「従来の手法は対策が進み成功率が下がってきたところに、新たな手口が出てきてしまった。 ここ半年で様々なハッカーが攻撃の手法を変えてきている。」 (編集委員・須藤龍也、asahi = 5-2-20)前 報 (2-10-20) |