リスクマネジメント リスクマネジメント記事一覧へ

[内田勝也の日々是セキュリティ]

三菱電機の事案から、サイバー攻撃被害企業が行う「情報公開」の意義、あり方を考える:第6回

2020年2月4日(火)内田 勝也(情報セキュリティ大学院大学 名誉教授)

三菱電機とNEC。サイバーセキュリティサービスも提供する大手電機メーカー2社が、サイバー攻撃/不正アクセス被害を受けていたことを相次いで公表した。三菱電機は2019年6月にサイバー攻撃を受けたことを把握、一部の顧客情報・機密情報データの流出が確認された。NECは、3年前の2017年6月に攻撃を把握、こちらはデータ流出はなかったとしている。いずれも公表までに長い期間を要している。にもかかわらず、両社とも一般への公表はプレスリリースのみで、会見は開いていない。今回は、データ流出の実害が明らかになった三菱電機の対応を例に、サイバー攻撃被害の情報公開について、筆者なりの考えを述べさせていただく。

三菱電機のサイバー攻撃被害/データ流出事件の概要

 2019年6月28日、三菱電機は社内の端末の不審な挙動を検知した。第三者による不正アクセスを受けて外部にデータを送信されていたことがわかり、速やかに外部からのアクセスを制限するなどの対策を講じた。社内調査の結果、個人情報と企業機密が外部に流出した可能性があることが明らかになった。防衛・電力・鉄道といった社会インフラに関する機微な情報、機密性の高い技術情報や取引先に関する情報は流出していなかったという。

 攻撃者は、監視や検知をすり抜ける高度な手法を用いており、一部の端末では送信されたデータを特定するためのログファイル(操作記録)が消去されていた。ウイルス対策ソフトのセキュリティパッチ公開前の脆弱性を突いた、標的型のゼロデイ攻撃だったようだ。

 流出した可能性のある情報・データは、個人情報と企業機密だ(表1)。個人情報は新卒と中途の採用応募者情報、三菱電機の従業員によるアンケート調査結果、同社グループ企業年金基金が所有する退職者情報の3種類。ログの消去により正確な数値は把握できていないが、最大8122人分の情報が流出した可能性があるということだ。企業機密は、技術資料や営業資料などだという。

表1:三菱電機が発表した、流出した可能性のある機密情報(出典:三菱電機)

個人情報

・採用応募者情報(1987人)
2017年10月入社~2020年4月入社の新卒採用応募者と 2011年~2016年
の経験者採用応募者
・三菱電機従業員情報(4566人)
2012年に本社所属者に対し実施した人事処遇制度運営に関するアンケート調査
結果
・三菱電機関係会社退職者の情報(1569人)
三菱電機グループ企業年金基金が所有する退職者情報
(2007年~2019年の一時金受給者)

企業機密

技術資料・営業資料 等

 三菱電機ではこの事実を、2020年1月20日にニュースリリースという形で公表したが、経営層による公式な会見などは行っていない。

攻撃の痕跡が残るログファイルを消されないように

 三菱電機はウイルス対策ソフトの脆弱性を狙ったゼロデイ攻撃を受けたことが、今回の情報流出の直接の原因だと述べている。併せて、一部ログファイルが攻撃者によって消去されたことも明らかにしている。筆者が気になったのが、ログファイルの消去についてだ。情報公開について述べる前に、ログファイルの管理について触れたい。

 ログファイルには、システムのトラブルやユーザーの行動のほか、今回のような不正な攻撃の痕跡が出力されており、攻撃経路や手口、被害状況などを知るための重要な手掛かりと成り得るものだ。それだけに攻撃者が証拠隠滅のためにログファイルを消去するというのは、よくある手口と言える。

 今回攻撃を受けたシステムの場合、設定上、ログファイルの消去も、ウイルス対策ソフトの管理者権限でできたのだろうか? そうだとすると、ログファイルも攻撃対象となった対策ソフトの機能で管理をしていたと思われる。

 外部攻撃によるログファイルの消去を避けるためには、ログを書き換えのできないWORM(Write Once Read Many:書き込み1回限り/読み取り無制限)ストレージに保存する、あるいは他のサーバーに送って当該サーバーの管理者権限では消去できないようにするといった考え方があったはずだ。今となってはアナログな方法ではあるが、もはやこのような考え方は時代遅れなのだろうか。

 もし、このような対策を取っていれば、攻撃の痕跡を残したログファイルが消去されることはなかったかもしれない。そうすれば少なくとも、調査、発表がここまで遅れることはなかったはずだ。ログファイルの管理というのは、管理者にとって負担以外の何ものでもないが、現在の管理方法が外部からの攻撃に耐えうるものであるのか、調べておくに越したことはない。

●Next:流出情報をどこまで詳細に伝えるべきか

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
  • 1
  • 2
バックナンバー
内田勝也の日々是セキュリティ一覧へ
関連キーワード

三菱電機 / NEC / サイバー攻撃 / ログ管理 / 個人情報 / 情報漏洩 / WORM

関連記事

トピックス

[Sponsored]

三菱電機の事案から、サイバー攻撃被害企業が行う「情報公開」の意義、あり方を考える:第6回 三菱電機とNEC。サイバーセキュリティサービスも提供する大手電機メーカー2社が、サイバー攻撃/不正アクセス被害を受けていたことを相次いで公表した。三菱電機は2019年6月にサイバー攻撃を受けたことを把握、一部の顧客情報・機密情報データの流出が確認された。NECは、3年前の2017年6月に攻撃を把握、こちらはデータ流出はなかったとしている。いずれも公表までに長い期間を要している。にもかかわらず、両社とも一般への公表はプレスリリースのみで、会見は開いていない。今回は、データ流出の実害が明らかになった三菱電機の対応を例に、サイバー攻撃被害の情報公開について、筆者なりの考えを述べさせていただく。

PAGE TOP