全3403文字
PR

 防衛産業に関わる日本企業が海外からとみられるサイバー攻撃で相次ぎ被害に遭っていた事実が明らかになった。

 三菱電機は2020年1月20日、一部報道を認める形で、2019年6月に検知したサイバー攻撃により一部の業務情報や個人情報8122人分が流出していたと公表した。NECも1月31日、2016年以降に受けたサイバー攻撃により防衛事業部門のファイル2万7455件が不正アクセスを受けたと発表した。

三菱電機とNECが公表した不正アクセスに関する発表文
三菱電機とNECが公表した不正アクセスに関する発表文
(出所:三菱電機、NEC)
[画像のクリックで拡大表示]

 三菱電機とNECの被害は氷山の一角だ。河野太郎防衛相は1月31日午前10時過ぎ、NECからの情報流出に関して「安全保障上の影響は特段ない」としつつも、三菱電機とNECのほかにも「防衛関連企業に対する不正アクセスの事案が2016年度に1件、2018年度に1件ある」と説明。それぞれ違う企業が被害に遭っていたと明らかにした。

 河野防衛相は「不正アクセス事案はやはりしっかりと公表すべきだ」と述べ、実際に防衛省は2020年2月6日、不正アクセスを受けた2社が神戸製鋼所とパスコであると公表した。神戸製鋼所は2016~2017年に、パスコは2018年に社内への不正アクセスを確認。防衛省は、2社からは同省が指定する「秘密」の流出は無かったとしている。

 三菱電機とNECもともに「情報流出による被害は報告されていない」とするが、攻撃者は防衛関連企業に標的を絞ったうえで未知の脆弱性を突き、攻撃の痕跡も隠している。ログなどが不十分のため被害の実態は不明だ。専門家への取材を進めると、日本の多くの企業に共通するリスクと特定の業界が抱えるリスクの2つが見えてきた。

OSより狙いやすい、セキュリティー製品の脆弱性

 多くの企業に共通するリスクはセキュリティー製品の脆弱性である。どんなソフトでもバグが存在し得るするのはIT業界では「常識」だが、ことセキュリティー製品の運用においては想定されにくかった。スキがあったといえる。

 三菱電機は情報流出を招いた直接の原因について、社内で使うウイルス対策システムに存在していた未知の脆弱性を攻撃されたためと公表した。いわゆる「ゼロデイ攻撃」を受けた格好だ。

 攻撃されたウイルス対策システムはトレンドマイクロの「ウイルスバスター」の企業向け製品との一部報道があった。三菱電機とトレンドマイクロはそれぞれ真偽についてコメントしない姿勢を貫いている。

 ただしトレンドマイクロは、三菱電機が攻撃の調査に追われていた時期と同じ2019年10月、企業向けウイルスバスターの脆弱性を修正するパッチを公開している。この脆弱性はある企業を狙ったゼロデイ攻撃で使われたことから判明したという。具体的にはパソコンにパターンファイルや設定ポリシーを配信する、企業内の管理サーバー用ソフトに存在していた未知の脆弱性である。

 攻撃が成立するには「サーバーに管理者としてログインする」など複数の前提条件が必要だ。仮に攻撃が成功していれば、パソコンにマルウエアを配信したりウイルス対策ソフトを停止させたりするなど、管理サーバー側の管理機能をそのまま悪用された恐れもある。

 セキュリティーコンサルティングなどを手掛けるS&Jの三輪信雄社長は「ウイルス対策システムの脆弱性が狙われる懸念は以前からあったが、管理サーバーへのゼロデイ攻撃は初の報告事例ではないか」とみる。ウイルス対策システムは全社レベルでパソコンのファイルを広く検索・操作できるなど、強力な権限を持つ場合が多い。その司令塔である管理サーバーへの攻撃は「侵入先を一気に広げられる点で極めて作業効率が高く危険」(セキュリティー製品ベンダーであるFFRIの鵜飼裕司社長)。

 サイバー攻撃者が狙うのはウイルス対策システムだけではない。セキュリティー関連製品が広く狙われている。2017年にはセキュリティーサービスを提供するセキュアワークス日本法人が、Sky製の資産管理ソフト「SKYSEA Client View」がゼロデイ攻撃に遭い複数の日本企業に被害が生じたと報告した。

 2019年には台湾エイスース(華碩電脳)が自社製パソコン向けに運用するファームウエアの配信サーバーが攻撃者に悪用されてマルウエア配布の踏み台に使われたと、ロシアのウイルス対策ソフト開発のカスペルスキー(kaspersky)が報告。ソフト配信の仕組みを悪用してマルウエアに感染させる攻撃手法はここ数年で増えている。