日本の防衛関連企業がサイバー攻撃に遭っていた事実が明らかになった。原因はセキュリティー製品に潜む「未知の脆弱性」にあった。日本企業は世界から狙われており、全ての企業が対策を急ぐ必要がある。
三菱電機とNECが不正アクセスを受けていたことが明らかになった。三菱電機は2020年1月20日、2019年6月に検知したサイバー攻撃により一部の業務情報や8122人分の個人情報が流出したと公表。NECも1月31日、2016年以降に受けたサイバー攻撃により防衛事業部門のファイル2万7455件が不正アクセスを受けたと発表した。
三菱電機とNECは氷山の一角だ。河野太郎防衛相は1月31日午前10時過ぎ、別の2社が不正アクセスに遭っていたと明かした。「しっかりと公表すべきだ」とも述べ、実際に防衛省は2月6日、別の2社が神戸製鋼所とパスコであると公表。神戸製鋼所は2016~2017年に、パスコは2018年に社内への不正アクセスを確認したとした。
防衛省はこの2社から同省が指定する「秘密」の流出は無かったとしている。三菱電機もNECも「情報流出による被害は報告されていない」とした。
だが三菱電機は2月12日、防衛省への詳細報告を準備するなかで同省が情報保全を求めていた「注意情報」が流出した可能性があると公表した。調査の甘さも露呈した格好だ。
攻撃者は防衛関連企業に標的を絞ったうえで未知の脆弱性を突き、攻撃の痕跡も隠している。ログなどが不十分のため被害の実態は不明だ。専門家への取材を進めると、日本の多くの企業に共通するリスクと特定の業界が抱えるリスクの2つが見えてきた。
セキュリティー製品にゼロデイ攻撃
多くの企業に共通するリスクはセキュリティー製品の脆弱性である。どんなソフトでもバグが存在し得るのはIT業界では「常識」だが、ことセキュリティー製品の運用においては想定されにくかった。スキがあったといえる。
三菱電機は情報流出を招いた直接の原因について、社内で使うウイルス対策システムに存在していた未知の脆弱性を攻撃されたためと公表した。いわゆる「ゼロデイ攻撃」を受けた格好だ。
攻撃されたウイルス対策システムはトレンドマイクロの「ウイルスバスター」の企業向け製品との一部報道があった。三菱電機とトレンドマイクロは真偽についてコメントしていない。
ただしトレンドマイクロは、三菱電機が攻撃の調査に追われていた時期と同じ2019年10月、企業向けウイルスバスターの脆弱性を修正するパッチを公開している。この脆弱性はある企業へのゼロデイ攻撃から判明した。
具体的にはパソコンにパターンファイルや設定ポリシーを配信する、企業内の管理サーバー用ソフトに存在していた未知の脆弱性である。仮に攻撃が成功していれば、パソコンにマルウエアを配信したりウイルス対策ソフトを停止させたりするなど、管理サーバーの機能を悪用された恐れもある。
セキュリティーコンサルティングなどを手掛けるS&Jの三輪信雄社長は「ウイルス対策システムの脆弱性が狙われる懸念は以前からあった」とする。ただ「管理サーバーへのゼロデイ攻撃は初の報告事例ではないか」とみる。
サイバー攻撃者はセキュリティー関連製品を広く狙うようになっている。セキュリティー製品ベンダーであるFFRIの鵜飼裕司社長は「多くのセキュリティー技術者が脆弱性を報告しているOSに比べて、セキュリティー関連製品は未知の脆弱性を探し出すコストが相対的に低く、しかも成功したときの利益は十分に大きい」と指摘する。
サイバー攻撃者やサイバー脅威の動向に詳しいサイントの岩井博樹社長は「攻撃者は攻撃対象国で普及する法人向けソフト製品を何らかの形で入手し、脆弱性を詳しく調査しているとみたほうがよい」と警鐘を鳴らす。
