(cache)ログ消去もされていた三菱電機の不正アクセスについてまとめてみた

2020年1月20日、三菱電機は自社ネットワークが不正アクセスを受け、個人情報等が外部へ流出した可能性があると発表しました。ここでは関連する情報をまとめます。報道によれば現在も三菱電機は不正アクセスへの社内調査等を進めています。

発端は研究所サーバーの不審ファイル動作

2019年6月28日に情報技術総合研究所のサーバーで不審なファイルが動作したことを社内で検知。
同じファイルが中国、及び国内他拠点で検出され内部侵害の被害を受けている可能性を受け調査を開始。

報道された出来事を時系列にまとめると以下の通り。

日時	出来事
2019年6月28日	情報技術総合研究所のサーバーで不審ファイルを検出。
2019年秋	三菱電機の社内調査により情報流出の可能性が判明。
2020年1月20日	朝日新聞が三菱電機の不正アクセスを報道。
同日	三菱電機が不正アクセス被害を発表。機密性の高い情報の流出は否定。
同日	官房長官が三菱電機の事案について経産省、NISCを中心に引き続き注視する考えをコメント。*1

影響は週報から採用応募者の情報まで

流出の可能性のある、または影響が確認されていない情報は以下の通り。*2 *3 *4 *5

外部流出の可能性がある情報	・執行役員会議資料・従業員、退職者、採用応募者8,122人の個人情報・採用応募者の情報・研究所内で共有された週報・JR、私鉄、自動車大手、通信、電力企業等数十社との共同開発、商談、製品受注等の取引関連情報・防衛省、資源エネルギー庁、原子力規制委員会、内閣府、環境省、JAXA等10を超える政府、官公庁とのやり取りに係る情報
影響の確認されていない情報	・防衛、電力、鉄道等に係る機微情報、機密性の高い技術情報、取引先情報

外部流出の可能性がある情報

・執行役員会議資料
・従業員、退職者、採用応募者8,122人の個人情報
・採用応募者の情報
・研究所内で共有された週報
・JR、私鉄、自動車大手、通信、電力企業等数十社との共同開発、商談、製品受注等の取引関連情報
・防衛省、資源エネルギー庁、原子力規制委員会、内閣府、環境省、JAXA等10を超える政府、官公庁とのやり取りに係る情報

影響の確認されていない情報

・防衛、電力、鉄道等に係る機微情報、機密性の高い技術情報、取引先情報

流出の可能性がある情報での被害、影響は現時点で確認されていない。

ログ消去され事実確認できず

f:id:piyokango:20200120164933p:plain — 不正アクセス事案の概要

不正アクセスは中国関係会社の侵害から始まり、国内14事業部の大半、管理部門の一部などに広まったとみられる。
中間管理職が操作するPCを対象とした不正アクセス行為も発生していた。*6
情報は送信用端末に集約され、数回に分けて外部へ約200MBのデータが送信されていた。
実際に情報が外部へ流出したかについてはログが消去されていたため確認できなかった。*7
最初に被害を受けた中国関係会社への不正アクセスがいつ頃始まったのかは判明していない。

報道後公表した理由

三菱電機は1月20日に不正アクセス被害を公表。
- [PDF] 不正アクセスによる情報流出の可能性について
事態発覚以降、今日まで公表をしていなかった理由として社内調査やその対策を進めた結果と説明。
情報流出の可能性がある取引先に関連する情報について、直接説明等する必要がある案件か1件ずつ精査を実施していた。
社内調査は2020年1月20日時点でも行われており、記者会見等は予定されていない。*8

「Tick」による不正アクセスと報道

Tickは中国由来とみられるグループで日本、韓国を攻撃対象とする。命名したのはSymantec。別呼称は「Bronze Butler（Secureworks）」「REDBALDKNIGHT（Trend Micro）」の2つ。
朝日は「社内調査」、読売は「関係者」をソースとしている。広報担当者は回答を控える方針の模様。

Tickの特徴

グループの活動目的は企業の知的財産情報の窃取と分析されている。また目的達成後は証跡を全て削除する。
使用するマルウェアとしてRATではDASERF、xxmm、Datper等が確認されている。ラテラルムーブメントにはWindows標準コマンドやMimikatz等のクレデンシャル情報を取得するツールを使って内部で侵害を拡大する。
SKYSEA Client Viewの脆弱性（CVE-2016-7836）の悪用やUSBドライブを悪用したエアギャップへの展開を行う手口なども報告されていた。