KNOWLEDGE - COLUMN ナレッジ - コラム

【エバンジェリスト・ボイス】テレワークを狙った攻撃の実態~三菱重工の事例~

サイバー・セキュリティ・ソリューション(CSS)部
エバンジェリスト 藤原 和紀     藤原さんコラム内画像_415x410

CSS 部エバンジェリストの藤原です。

コロナ禍によるテレワークも半年を過ぎ、もうすっかり慣れてしまったという方も多いのではないでしょうか。この記事が載るころには若干暑さも和らいでいるとは思いますが、ウォーキングなどの際はくれぐれも熱中症にご注意ください。

本題ですが、テレワークに関連するニュースが報道されています。
2020年 8 7 日に三菱重工からグループ会社の名古屋地区のネットワークが第三者による不正アクセスを受け、従業員の個人情報などが漏えいしたと発表がありました。
01_1515x827
※外部サイト: 三菱重工 当社グループ名古屋地区のネットワークに対する第三者からの不正アクセスに係る件

このニュースリリースを受け、在宅勤務中の社員の PC が発端となり感染が広まったことから、各社が在宅勤務やテレワークによるマルウェアの感染と見出しを付けて報道しました。

詳細は三菱重工のニュースリリースに書かれていますが、経緯は次の通りです。
02_1163x655

・発生原因

発生原因は次のように発表されています。
「本事案は、 SNS を悪用したソーシャルエンジニアリングが発端となっているため、その具体的内容を社内に周知し、注意喚起いたしました。
また、本事案発生時点では、社有モバイル PC が社内ネットワークを経由せずに外部ネットワークに接続し、利用することが可能な状態にあったことが、悪意のあるソーシャルエンジニアリングによる被害につながったものと考えております。」

つまり、社有 PC を直接インターネットに接続した後、 VPN に接続せずに直接 SNS を利用した事が発端という事です。恐らく、社内ネットワークからは接続できない SNS であったかと想像されます。
SNS へ接続後、何らかの方法でマルウェアのダウンロードと実行を促され、社有 PC への感染に繋がったと思われます。
マルウェア対策が行われていたかについては言及がありませんが、社有 PC であれば行われていたと考えるのが自然でしょう。今回はマルウェア対策をすり抜けるゼロデイであったと推測されますが、攻撃者は SNS を使って個別に攻撃を仕掛けてきているようですので、当然、マルウェア対策の回避は意識していると思われます。

・社内への感染

5/7 に社有 PC を社内に持ち帰り、社内ネットワークに接続。その後、 5/18 に感染が拡大となっています。この間に少し間が開いていますが、この間にマルウェアからの調査活動が行われていた等が想定されますが、詳細は公表されていません。
その後、 5/21 に外部不正通信を検知し、社内で調査が開始されています。

ここで感心すべき点は外部に対する不正通信を検知する仕組みが出来ていたという事です。
最近、流出したデータがダークウェブ上で売買されているなど、悪用が確認されて初めて発覚するケースが増えています。
外部への不正通信については情報が漏洩する前にブロックできるのが理想ですが、そこまで行かなくとも不正通信を検出する仕組みを持つ事が非常に重要視されています。

※外部サイト: 「ヤマケイオンライン」会員情報流出について 経過報告(第2報)

併せて、今回のケースでは通信ログ等の解析、パケット情報を分析しその解読・精査を行えていることから、ログやパケットを保存することが出来ていたようです。

ログの保存や、パケットを記録するフォレンジックといった仕組みは、情報漏洩の事実を分析する上で非常に重要な対策となります。

・特権アカウントの管理

しかし残念な点は、「影響範囲が当該従業員の社有PCから他機器に広がった要因として、同地区の一部のサーバのローカル特権アカウントに対し、同じパスワードが設定されていたことが考えられます。(特権アカウントを悪用され他機器にログインされたものと考えております。)」とあります。
一般に Administrator root という特権アカウントは、一般ユーザーに開放するものではありません。一時的にアクセスが必要であったとしても、管理者であれば資格情報を個々の PC に保存するようなことはしないはずです。
特に、同社は過去にも大きなインシデントが起きており、セキュリティには特に敏感であったはずですが、セキュリティポリシーが浸透していなかった可能性があるようです。
また、セキュリティ監査を実施していたのか、実効性があったのか等検証する必要があるように思います。

・考えてほしいこと

この事象についてはモバイル端末全般に言える事であり、テレワークであったかどうかはさほど関係が無いと考えています。
何点か問題はあると思いますが、最大の問題はルールを順守する土壌があったのかという点です。恐らく社有 PC であれば私的 SNS の利用は制限されていたと思われます。また、特権アカウントの管理ルールも存在していたのではないでしょうか。
今回は VPN を強制するという対策を取られていますので、 SNS 経由での感染の可能性は低くなると思われますが、ルールが軽視されてしまえばテレワークであることが取り立てて危険を増大させるとは言えなくなってしまいます。
社内 PC であってもメールによるソーシャルエンジニアリングはよくある手口ですし、社内 PC であっても対策が出来ていなければテザリングなどで外部に接続が出来てしまいます。
USB だけではなく、 Bluetooth HDMI 等外部接続の手段はいくらでもありますので、管理にも限界があります。

・不正通信を検知する仕組みについて

今回は感染した PC を社内に持ち帰り感染が広がったという、比較的昔からよくある感染経路にすぎません。
残念ながらゼロデイマルウェアの比率は年々増えていますので、ウイルスチェックという手段はもはや気休め程度にしかなりません。
このため、侵入を前提とした監視の仕組みはテレワークの有無にかかわらず必須と言えます。
弊社ではネットワークの監視を行う NDR(Network Detection and Response) 製品をサービス提供しています。この機会にネットワーク監視を検討してみてはいかがでしょうか。

弊社サービスサイト: ネットワーク監視&インシデント対応サービス( NDR

尚、弊社の MSS-NDR について、 PALO ALTO NETWORKS DAY 2020 VIRTUAL に出展いたします。今回はオンライン開催の為、 2020 10 1 ( ) 2020 12 27 ( ) 3 か月にわたって開催されますので、是非ご覧いただけますと幸いです。

イベント詳細・お申込みはこちら

それでは、また次回までしばらくお待ちください。

当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。

エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。

メルマガ登録ボタン

藤原 和紀

株式会社インフォメーション・ディベロプメント 先端技術部 テクニカルスペシャリスト

この執筆者の記事一覧

関連するナレッジ・コラム

どのインスタンスを選べばいいの?EC2性能比較!

AIがプログラミングする時代の到来!?

残された攻撃の痕跡を追え! ~スレットハンティングのススメ~