Photo By Shutterstock
伊藤僑
Free-lance Writer / Editor
IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。著書に「ビジネスマンの今さら聞けないネットセキュリティ〜パソコンで失敗しないための39の鉄則〜」(ダイヤモンド社)などがある。
今回の大規模サイバー攻撃の標的は「三菱電機」
中国系の組織「Tick」による大規模なサイバー攻撃により、三菱電機から防衛・電力・鉄道などの機密性の高い情報が流出した可能性がある。1月20日の朝日新聞を開いたら、1面トップに衝撃的な不正アクセス事件が報じられていた。
その被害は全社規模に及び、国内外の120台以上のパソコン、40台以上のサーバーに侵入された痕跡が残されていた。流出した可能性のある情報には、自社情報のほか、防衛省、環境省、内閣府、原子力規制委員会、資源エネルギー庁などの官公庁や政府機関、電力、通信、鉄道、自動車などの民間企業に関するものも含まれるようだ。防衛関連や重要な社会インフラに関する機密性の高い情報が流出した恐れもあるという。
日本有数の総合電機メーカーとして、防衛関連をはじめ重要な社会インフラに関する事業に長年携わり、他社の安全を請け負うサイバーセキュリティ事業の強化にも取り組んでいた三菱電機に、攻撃者に狙われるようなセキュリティ対策上の「穴」はあったのだろうか。
暗躍する中国系サイバー攻撃集団「TICK」
先述の朝日新聞記事および、三菱電機が同日発表したニュースリリース「不正アクセスによる個人情報と企業機密の流出可能性について」によれば、不正アクセスは中国にある関連会社から始まり、日本全国の拠点に拡大。乗っ取ったアカウントを使って社内ネットワークに侵入し、機密情報に触れる権限のある中間管理職のパソコンを標的として攻撃を繰り返していたとみられる。しかも、その期間は、最初に不正アクセスを検知してからおよそ半年間にもわたったというから驚かされる。
具体的な攻撃手法としては、ウイルス対策システムの脆弱性を突く不正アクセスが原因とみられている。といってもシステムの脆弱性は既知のものではなく、攻撃時点では修正が行われていない、いわゆるゼロデイ状態だったようだ。
同社の社内調査から浮かび上がって来た攻撃者は、セキュリティ関連企業のトレンドマイクロなどが長年追跡調査を行っている中国系のサイバー攻撃集団「TICK」だった。
トレンドマイクロは、12月12日に発表したセキュリティブログで、「TICKは、正規のEメールアカウントと認証情報を利用してマルウェアを配信し、日本に本社を置き中国に子会社を持つ、防衛、航空宇宙、化学、衛星などの高度な機密情報を有する複数の組織に焦点を絞っています」と警告を発している。
その警告通りの被害が現実に発生してしまったわけだ。
ベトナムや韓国を拠点とするハッカー集団も
日本企業を狙っているのは中国系のハッカー集団だけではない。
サイバーセキュリティ関連企業のクラウドストライクによれば、ベトナムを拠点とし、同国政府との関連も疑われるハッカー集団「ATP32」は、東南アジアを中心にサイバー空間におけるスパイ活動を強化しているらしい。その主要ターゲットの1つが自動車業界で、トヨタ自動車も標的となった事実を既に把握しているという。
参考:ブルームバーグ「トヨタも標的か、ハッカー集団にベトナム政府の影-知財権窃盗関与も」(2019年12月24日)
また、日韓関係の悪化に伴い、韓国を拠点とするハッカーからのサイバー攻撃も増加しており、韓国発の対日サイバー攻撃キャンペーンも確認されている。標的となっているのは、日本の政府機関、企業、メディア、政治家などだとされる。
韓国からの攻撃で特徴的なのは、ダークウェブなどを利用して日本企業を攻撃してくれる者に対して高額な報酬を提供する者までいるということ。また、テクノロジー系の企業などから知的財産を盗むことを目的としている韓国系の集団もいるようだ。
参考:ニューズウィーク日本版「日韓関係の悪化に伴い激化した、韓国発サイバー攻撃の実態」(2019年12月26日)
2020年は、東京オリンピック・パラリンピック開催の年。海外からのサイバー攻撃はますます激化することが予想されている。「自社には盗まれるような情報はない」という中小規模の企業も油断は禁物だ。特に、官公庁や大手企業などが取引先に含まれる場合には、自社が攻撃される恐れだけでなく、攻撃の際の「踏み台(※第三者のコンピュータやサーバーを乗っ取り、サイバー攻撃や迷惑メールの発信源に利用したり、本当の目的であるコンピュータやサーバーにアクセスしたりすること)」にされないように高度なセキュリティ対策が求められる。取引先などと連携を図ることで、サプライチェーン全体で攻撃者に付け込まれる「穴」をなくすことが大切だ。