【エバンジェリスト・ボイス】防衛関連企業への不正アクセス問題

CSS 部エバンジェリストの藤原です。

巷では新型コロナウイルス(COVID-19)の対応で大変な状況ですが、防衛関連企業への不正アクセス問題というセキュリティ的に関心の高い事例が発生していますので、こちらを書かせていただきます。

2020年1月20日の三菱電機へのサイバー攻撃に引き続き、1月31日にはNECにもサイバー攻撃が行われたと発表がありました。

　外部サイト： 三菱電機 不正アクセスによる情報流出の可能性について
　外部サイト： NEC 当社の社内サーバへの不正アクセスについて

そして、同1月31日に行なわれた河野防衛大臣の記者会見で、「三菱電機、NEC以外に公表していない防衛関連企業に対する不正アクセスの事案が2016年度に1件、2018年度に1件あると報告を受けた」と発言しました。
これを受けた形で、2020年2月6日に防衛省は神戸製鋼所が2016年8月と2017年6月、パスコは2018年5月に不正アクセスの報告を受けたと発表しています。

　外部サイト： 防衛省　防衛大臣記者会見
　外部サイト： 神戸製鋼所　当社ネットワークへの不正アクセスについて
　外部サイト： パスコ　社内ネットワーク端末に対する不正アクセスについて

これらの4社について、防衛省が報告を受けた時点では公式発表はありませんでした。理由については、いずれのケースも防衛省が指定している秘密の流出は確認できなかった為公表は行なわなかったものとしています。

・「注意情報」が流出した可能性

恐らく関係者はこのまま沈静化に向かうと予想していたと思いますが、2月10日に三菱電機が流出した可能性がある情報の中に、防衛省が「注意情報」と定めるものがあったと防衛省によって発表されたことにより、またにわかに騒がしくなってきました。

　外部サイト： 三菱電機 不正アクセスによる個人情報と企業機密の流出可能性について（第 2 報）

この「注意情報」にあたる資料とは「防衛装備の研究試作に関する情報で、研究試作の入札に掛かる評価基準や、要求される性能などが記されているもの」と発表されています。

防衛省・自衛隊における秘密の定義は基本的に以下の通りです。
・「特別防衛秘密」　米国政府から供与された装備品等についての構造又は性能その他の事項等となります。
・「特定秘密」　国の安全保障に著しい支障を与えるおそれがあるため、特に秘匿性の高い物件が対象です。
・「省秘」　防衛省の秘密保全に関する訓令（平成19年防衛省訓令第36号）の規定に基づいて秘と指定したものです。

上記以外の秘密はいわゆる省秘等として「注意」と「部内限り」があり、「注意」は「当該事務に関与しない職員にみだりに知られることが業務の遂行に支障を与えるおそれのあるもの」とされています。
このように全体の中では機密性は低い位置付けとなる「注意」ですが、「防衛省が指定している秘密」に当たりますので漏れてもいい情報という訳ではありません

この資料が流出した経緯として、読売新聞によりますと「発表によると、防衛省は２０１８年１０月、防衛装備品の研究・試作に関する入札の前、求める性能や評価基準などが含まれる文書十数ページを三菱電機に貸し出した。同社はこの文書をＰＤＦで保存し、インターネットにつながる状況で管理。流出した可能性のある多数のファイルの中にこの文書も含まれていたという」と報道しています。

　外部サイト： 読売新聞　防衛上の「注意情報」流出か…三菱電機サイバー攻撃

報道を見る限り、入札仕様書のような文書と推定されます。誓約書の内容や文書の内容が不明ですが、一般的にこのような文書は貸出後の複製が禁止され、期限までに返却する必要があります。
そして誓約書にも上記記載があり、社印や責任者印を押して誓約書と引き換えに文書を受け取っているはずです。
今回、三菱電機はこの誓約を破ったということになりますので、一定期間の入札停止等のペナルティを受けることになると推測されます。


・なぜPDF化してしまったのか

発表や報道にはありませんが、おそらく組織ぐるみではなく、担当者レベルでPDF化してしまったものだと思います。

背景としてこの文書が入札仕様書であるならば、担当者はこの仕様書を元に提案書や見積りを作成します。紛失や盗難は許されない書類ですので、普段は鍵のかかる部屋等に置いておき、必要な都度貸出しを受ける、あるいは部屋内でのみ閲覧するなどの運用となります。

当然、書類は仕様書を確認しながら作成するのですが、その都度仕様書の確認をすると閲覧の申請などでかなりの負担になります。また1人で書類を作ることはまずありませんので、担当者同士や場合によっては再委託先との調整も必要になります。会議を行う場合も一部しかない仕様書を回し読みする形になるので非常に非効率です。
これが電子化出来ていれば、運用が非常に楽になるのが容易に想像できるかと思います。
そのような気持ちからPDF化を行なってしまったと考えられますが、今回のように流出の危険が桁違いに高まりますのでルール違反は許されません。

今回の件に関し、防衛省、三菱電機共に明確に注意情報がなぜネットワーク上にあったのか正式に発表されていません。しかし、後述します三菱電機のニュースリリース「不正アクセスによる個人情報と企業機密の流出可能性について（第 3 報）」にも「2．文書管理の徹底」の項目がありますので、PDF化は事実と思われます。

・侵入経路について

尚、今回三菱電機はサイバーセキュリティに資する情報は社会全体で共有するとして攻撃の内容の一部を公開しています。

　外部サイト： 三菱電機　不正アクセスによる個人情報と企業機密の流出可能性について（第 3 報）  

このニュースリリースによると、大まかな時系列は以下のようになります。

・2019年3月18日　中国拠点内ネットワークにあるウイルス対策管理サーバが、外部から未公開脆弱性を突いたゼロデイ攻撃を受け、パターンファイルアップデート機能を悪用される形で同拠点の端末に侵入。
・2019年４月2日　攻撃者は中国拠点の端末を介して、日本国内にあるウイルス対策管理サーバを 3 月 18 日と同じ手口で攻撃し、ファイルレスマルウエアを用いて、国内複数拠点の端末に侵入を拡大。
・2019年6月28日　ウイルス対策ソフトの挙動検知機能が、国内拠点の端末で不審な挙動を検知。

ここで攻撃のターゲットとなったウイルス対策製品はトレンドマイクロ社のウイルスバスターとされており、使用された脆弱性は以下のものと推定されています。

　外部サイト： ウイルスバスター コーポレートエディションの脆弱性 (CVE-2019-9489) に関する注意喚起
　外部サイト： ウイルスバスターコーポレートエディションの脆弱性 (CVE-2019-18187) に関する注意喚起

攻撃に使用されたディレクトリトラバーサル攻撃とは、本来アクセスできないファイルに対し、アプリケーションに特殊な命令を行うことによりアクセスが可能となる脆弱性です。

2019年09月10日発表のCVE-2019-9489はウイルスバスター Corp. サーバなどの管理サーバの任意のファイルを変更することができ、結果として管理コンソールへ管理者権限でログオンできてしまうという脆弱性です。トレンドマイクロ社は2019年4月4日に最初の情報を公開していますが、この脆弱性を狙ったサイバー攻撃を複数確認したとのことで、改めて発表したものです。

2019年10月28日発表のCVE-2019-18187 はCVE-2019-9489の調査中に見つかった脆弱性で、アップロードした任意のzip形式のファイルをウイルスバスター Corp. サーバ上の特定のフォルダ配下に展開することが可能となり、更に管理コンソールで使用しているWebサービスアカウントでの任意コード実行が可能になる脆弱性となります。

時系列から行きますと、攻撃者は2019年3月18日に攻撃を開始しています。これはCVE-2019-9489の情報が公開される2019年4月4日の前であり、この時点では対策の無い攻撃であったと言えます。
更に、上記脆弱性の発表時には「既に攻撃に使用された事例がある」と記載があります。この事例が三菱電機であったかは定かではありませんが、攻撃者はメーカーが対策を行う前に複数の攻撃を行っていたことを表しています。

また、三菱電機のニュースリリースでは、犯人は大手クラウドサービスを使用していたことも明らかにしています。大手クラウドサービスであればブラックリストに載ることが考えづらく、犯人は発見が困難になることを狙ったと思われます。
世間の声では三菱電機は国家機密も扱う大企業なのにセキュリティ意識が低いとの声が多いこの事件ですが、我々から見るとプロの攻撃者からの攻撃を防ぐというのはなかなか難しいと考えさせられる事件でした。

・攻撃から身を守る方法は

事象を確認する限り、2019年3月18日の最初の侵入が重要な気づきポイントでした。一部でルータの脆弱性を突かれて侵入されたとありますが、詳細について発表がありませんので、ここについてはコメントを避けます。

一度侵入を許してからは、ファイルレスマルウエアを使って遠隔操作が行なわれたとの事です。ファイルレスマルウエアとは、その名の通りディスク上にファイルを作成せずに行なわれる攻撃です。具体的には、Windowsの標準機能であるWindows Power Shell等を用いて行なわれる攻撃で、攻撃者はWindowsの標準機能に対して命令を行ないます。このため、実際に実行されるのはWindows Power Shell等であり、命令はメモリ上にしか残りません。従来の定義ファイルによる検出はファイルのパターンマッチングで検出を行いますので、ファイルが存在しない攻撃は検出することが出来ないというマルウェアです。
今でも感染が広がるEmotetにおいてもファイルレスマルウエアの手法は一部使用されていることから、今後割合が増えると想定されます。

このような状態で犯人は行動を続け、2019年6月28日になってついにウイルス対策ソフトの挙動検知機能によって見つかったというものです。
ウイルス対策ソフトの挙動検知機能とは、振る舞い検知とも呼ばれる機能で、犯人がPowerShellのファイル名をウェブブラウザソフトの実行ファイル名に書き換えていたことを検出し発覚したものと報告されています。
挙動検知機能とは恐らくウイルスバスターの挙動監視機能ではないか思われます。挙動監視は特定のシステムファイルの変更等、マルウェアでよく使われる手口の挙動を監視して、抑止や警告をあげてくれる機能です。
ただし、振る舞い検知を導入しておけば必ず侵入を検知できるかというと、残念ながらそういうものでもありません。

この為、従来型の対策に加え、まずはEDR(Endpoint Detection and Response)の導入をお勧めします。EDRはパソコンの挙動を監視し、記録を残します。その際、異常な動作を検知すれば警告や抑止をしてくれます。EDRはネットワークの監視が出来ますので、この異常な動作の検知範囲が広いという特徴があります。また、侵入後のマルウェアの挙動はEDRによって記録されますので、侵入後の影響範囲の特定が可能になります。

尚、EDRだけあれば従来のウイルス対策ソフトは不要というわけではありません。従来のウイルス対策ソフトはパターンマッチングによって侵入をブロックしますので、誤検知やリソースの消費が少ないという特徴があります。ただし、ゼロデイについては効果が薄く、今回のように侵入を許してしまいます。この為、侵入を防ぐ為の従来のウイルス対策ソフトと侵入後の対策を行うEDRを組み合わせて使用することが前提となります。
もし両方の導入が費用的に難しいのであれば、Microsoftの純正ウイルス対策であるWindows Defenderを使うという選択肢もありますので、ご検討ください。
また、EDRは難しいイメージがあるかと思います。セキュリティ担当がいない場合はMSS(Managed Security Service)というサービスでの提供を受けることも可能ですので、是非ご相談いただければ思います。

・最後に

今回の問題は三菱電機の中国拠点が発端となっていますが、攻撃者は子会社、関連会社、あるいはパートナー企業といった周辺の会社から侵入するケースが増えています。今回の事件も三菱電機自体が防衛省のパートナー企業ですので、サプライチェーンが狙われたということになります。
セキュリティは一般に発注元よりも周りの企業の方がぜい弱になる傾向がありますので、攻撃者はこのようなサプライチェーンを狙ってきます。

今回の事象についてネットでは色々と言われていますが、三菱電機だったからこそ検出や検出後のフォレンジック調査等がスムーズにできたと考えるべきでしょう。

皆さんの会社ではネットワーク分離やフォレンジック対策など、侵入後の対策は取られていますでしょうか。弊社ではEDRの導入だけではなく各種セキュリティ対策のご相談を受け付けていますので、ぜひご連絡ください。


・告知

2020年3月10日(火)の第7回 BAPT主催 サイバーセキュリティ対策セミナーにて、「IoTにも対応するNDR ~ EDRと何が違う？メリットと特徴~」と題して講演を行わせていただきます。（詳細は こちら ）
お時間があるようでしたら足をお運びいただけますと幸いです。

それでは、また次回をお待ちください。

当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。

エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。