三菱電機とNEC。サイバーセキュリティサービスも提供する大手電機メーカー2社が、サイバー攻撃/不正アクセス被害を受けていたことを相次いで公表した。三菱電機は2019年6月にサイバー攻撃を受けたことを把握、一部の顧客情報・機密情報データの流出が確認された。NECは、3年前の2017年6月に攻撃を把握、こちらはデータ流出はなかったとしている。いずれも公表までに長い期間を要している。にもかかわらず、両社とも一般への公表はプレスリリースのみで、会見は開いていない。今回は、データ流出の実害が明らかになった三菱電機の対応を例に、サイバー攻撃被害の情報公開について、筆者なりの考えを述べさせていただく。
三菱電機のサイバー攻撃被害/データ流出事件の概要
2019年6月28日、三菱電機は社内の端末の不審な挙動を検知した。第三者による不正アクセスを受けて外部にデータを送信されていたことがわかり、速やかに外部からのアクセスを制限するなどの対策を講じた。社内調査の結果、個人情報と企業機密が外部に流出した可能性があることが明らかになった。防衛・電力・鉄道といった社会インフラに関する機微な情報、機密性の高い技術情報や取引先に関する情報は流出していなかったという。
攻撃者は、監視や検知をすり抜ける高度な手法を用いており、一部の端末では送信されたデータを特定するためのログファイル(操作記録)が消去されていた。ウイルス対策ソフトのセキュリティパッチ公開前の脆弱性を突いた、標的型のゼロデイ攻撃だったようだ。
流出した可能性のある情報・データは、個人情報と企業機密だ(表1)。個人情報は新卒と中途の採用応募者情報、三菱電機の従業員によるアンケート調査結果、同社グループ企業年金基金が所有する退職者情報の3種類。ログの消去により正確な数値は把握できていないが、最大8122人分の情報が流出した可能性があるということだ。企業機密は、技術資料や営業資料などだという。
個人情報 |
・採用応募者情報(1987人) |
企業機密 |
技術資料・営業資料 等 |
三菱電機ではこの事実を、2020年1月20日にニュースリリースという形で公表したが、経営層による公式な会見などは行っていない。
攻撃の痕跡が残るログファイルを消されないように
三菱電機はウイルス対策ソフトの脆弱性を狙ったゼロデイ攻撃を受けたことが、今回の情報流出の直接の原因だと述べている。併せて、一部ログファイルが攻撃者によって消去されたことも明らかにしている。筆者が気になったのが、ログファイルの消去についてだ。情報公開について述べる前に、ログファイルの管理について触れたい。
ログファイルには、システムのトラブルやユーザーの行動のほか、今回のような不正な攻撃の痕跡が出力されており、攻撃経路や手口、被害状況などを知るための重要な手掛かりと成り得るものだ。それだけに攻撃者が証拠隠滅のためにログファイルを消去するというのは、よくある手口と言える。
今回攻撃を受けたシステムの場合、設定上、ログファイルの消去も、ウイルス対策ソフトの管理者権限でできたのだろうか? そうだとすると、ログファイルも攻撃対象となった対策ソフトの機能で管理をしていたと思われる。
外部攻撃によるログファイルの消去を避けるためには、ログを書き換えのできないWORM(Write Once Read Many:書き込み1回限り/読み取り無制限)ストレージに保存する、あるいは他のサーバーに送って当該サーバーの管理者権限では消去できないようにするといった考え方があったはずだ。今となってはアナログな方法ではあるが、もはやこのような考え方は時代遅れなのだろうか。
もし、このような対策を取っていれば、攻撃の痕跡を残したログファイルが消去されることはなかったかもしれない。そうすれば少なくとも、調査、発表がここまで遅れることはなかったはずだ。ログファイルの管理というのは、管理者にとって負担以外の何ものでもないが、現在の管理方法が外部からの攻撃に耐えうるものであるのか、調べておくに越したことはない。
●Next:流出情報をどこまで詳細に伝えるべきか
会員登録(無料)が必要です
- 1
- 2
- 次へ >
- 緊迫した現場で強いストレス─サイバーセキュリティとメンタルヘルスの関係:第8回(2020/06/12)
- パンデミックと情報セキュリティ、危機管理対策の共通性を考える:第7回(2020/05/12)
- 神奈川県庁のHDD流出事件からの教訓─リース契約時の注意点と事業者の責任対策:第5回(2019/12/13)
- 「見えない情報」をどう守る?─重要インフラの事件・事故から考える:第4回(2019/11/19)
- 敵を知り、己を知る─ハッカーのさまざまな情報収集手段:第3回(2019/10/23)