潜行するサイバー攻撃(第6回)

狙われた三菱電機。ピンポイント攻撃

2020.02.14

クリップについて

 東京オリンピック・パラリンピック大会を目前にした2020年1月、またしても大企業から情報流出事故発生の発表があった。被害に遭ったのは三菱電機。最大で8000人規模の個人情報と、技術資料・営業資料などの企業機密が流出した可能性があるという。

 三菱電機が異変に気付いたのは、2019年6月28日のこと。端末の不審な挙動検知をきっかけに調査を行った。調査の結果、第三者による不正アクセスがあり、外部にデータが送信されていたのが判明した。三菱電機では、速やかに外部からのアクセスを制限するなどの対策を施し、関係機関に報告を行った。

 セキュリティ対策の不備や、人的対応のミスがあったわけではなかった。監視や検知をすり抜ける高度な手法によって不正アクセスが行われた。不正アクセスは一般に、アプリケーションやウイルス対策ソフトの脆弱性を狙う。三菱電機によると、今回はウイルス対策システムのセキュリティパッチが公開される前に、未知の脆弱性を狙われ、監視や検知をすり抜けられてしまったとのことだ。

 さらに、不正アクセスされた一部の端末では、送信したファイルのログ(操作記録)が、攻撃者によって消去されていた。このため、情報流出の状況把握の調査に、時間がかかってしまった。ログが消去されたので、実際にどれだけの情報が流出したかを特定できていない。最大で8000人という個人情報の数字は、流出した可能性のある「最大数」の形で示した。

 今回の事件で、周到に用意されて狙いを定められたら、大企業、それも総合電機メーカーである三菱電機でも攻撃から情報を守りきれないことが改めて浮き彫りにされた。

 三菱電機の発表によると、今回の情報流出の事故では、これまでに被害や影響は確認されていない。流出した可能性がある個人情報は、採用応募者の情報、三菱電機の従業員情報、三菱電機関係会社の退職者情報だ。企業機密である技術資料や営業資料も流出したが、防衛・電力・鉄道など、社会インフラに関する機微な情報や機密性の高い技術情報、取引先に関わる重要な情報は流出しなかったのを確認したと発表した。現時点では、大きな被害がないのは不幸中の幸いといえるだろう。

企業規模にかかわらずリスクは増大

 こうしたサイバー攻撃は、必ずしも三菱電機のような大企業だけを狙うものではない。企業規模にかかわらず、サイバー攻撃を受けるリスクは日増しに高まっている。その要因の1つが「サプライチェーン攻撃」という攻撃手法の広がりである。

 今回の三菱電機の事故では、脆弱性にパッチを当てる前の攻撃、いわゆる「ゼロデイ攻撃」で不正アクセスを許した。三菱電機を含めて大企業は、多重に防御を行っている。一般的には突破しにくく、攻撃側はピンポイントで狙い、攻撃した。

 こうした大企業をピンポイントで狙うのではなく、別の弱点を狙う攻撃者もいる。大企業はサプライチェーンを構成する、多くの企業とシステムをネットワークで接続して業務を遂行する。ここに目を付けた方法だ。このサプライチェーンを構成するセキュリティレベルの低い中小企業などに攻撃を仕掛けて守りを突破し、最終的に大企業のシステムに“内側”から入り込むやり方である。

 こうした状況では、中小企業が格好のターゲットになる場合もある。コストのかかるセキュリティ対策は後回し、とのんきなことを言っていられない。セキュリティ対策を怠ったことが、取引する大企業も含めた大規模情報漏えい事件につながるからだ。情報流出事故によってサプライチェーンから締め出されれば、事業継続そのものが不可能になる。中小企業であっても、何事も起こっていない今から、対策を施しておく必要がある。

 特に「今」が重要なのは、この夏に東京オリンピック・パラリンピック大会が開催されることも影響する。オリンピックの開催国には、多くの観戦客が訪れるだけでなく、サイバー、フィジカルの両面で攻撃を受けるリスクが高まる。

 内閣サイバーセキュリティセンター(NISC)は、過去のオリンピック大会の開催国に対するサイバー攻撃の状況をまとめている。それによると、2012年ロンドン大会では23億5000万件のセキュリティ関連ログが記録され、2016年リオ・デ・ジャネイロ大会では120億件のセキュリティイベントが発生した。NISCは、攻撃手法は刻々と変化し、脅威が深刻化する中で、2020年にはさらに深刻な状況だと警告する。

 サプライチェーン攻撃の広がりによる攻撃対象の拡大と、世界的なビッグイベントの開催が重なった2020年の日本。「中小企業だから、まあ大丈夫だろう」という油断は企業の存続すら危うくさせる。

 大企業の例を人ごととは思ってはならない。「攻撃されないだろう」という発想から、「攻撃されることを前提に、守りを固める」発想への転換が求められる。オリンピック・パラリンピックの開催を契機に、自社のセキュリティ対策を整え、サイバー攻撃へ「守りのメダル」を獲得する気概を持ちたい。

SID : 00109006

執筆=岩元 直久

執筆=岩元 直久

あわせて読みたい記事

連載記事≪潜行するサイバー攻撃≫

PAGE TOP

閉じる
会員登録(無料) ここでしか読めないオリジナル記事が満載
閉じる