三菱電機は二段階認証を破られた(転載)~自社のセキュリティ対策を見せびらかすとこうなる!?~


三菱電機は二段階認証を破られた

三菱電機が2020年に入って2度目の不正アクセス被害の発表をしました。前回の発表は朝日新聞のスクープ記事から発覚しましたが、今回も朝日新聞のスクープ記事が出ていました。

 複数の関係者によれば16日夕方、同社が利用する外部クラウドサービスの監視システムが、通常とは異なる不審なアクセスを検知し、警告を発した。本社内でしかアクセスしないはずの管理者アカウントで、中国国内に割り当てられたIPアドレス(ネット上の住所)から接続があったためだ。

 同社は不正アクセスの発生と判断し、接続を遮断した。調査の結果、社内ネットワークの管理や保守を担当する従業員の管理台帳ファイルを盗み取ろうとしていた形跡が見つかった。

 接続元のIPアドレスを手掛かりに調べたところ、新たに2人の社員アカウントからの接続も見つかった。いずれもクラウドサービスの管理を任されている社員のものだった。ハッカーに社内情報が握られているのは確実だった。

(朝日新聞記事より引用)

プレスリリースアーカイブ

敬意を込めて最初に書いておくべきかと思います。朝日新聞のスクープです。

このスクープ記事の内容は、今回このインシデントを考える上で大変参考になったのですが、違う見方をすれば、この情報が出る事自体が三菱電機側の情報管理に対する脇の甘さを物語っています。

2020年11月19日19時40分には朝日新聞の記事が出ている事を考えると、三菱電機のCSIRTかITシステム関係者、又は事件詳細を11/19に報告を受けた警察庁かNISCに「関係者」なる情報リーク者がいる事になります。

三菱電機側がこの記事内容を外部にリークして良いのであれば、公式発表にもう少し情報を入れても良かったはずです。

※調査中という事もあるのかと思いますが、公式発表には大した事は書いてません

記事を読むと、三菱電機の今回の攻撃に対する防御は及第点以上だったと思います。

結果として8,635件の顧客情報が漏えいした事は問題ではありますが、多層防御を潜り抜けてくるAPT攻撃だった(と推測される)事を考えると、その程度の被害で(今回は)抑えられた事、つまり三菱電機の多層防御をむしろ賞賛すべきかと思います

昨日の各メディアの記事を読んでいると、その時点での開示情報が少なかった事も影響していそうですが、「マイクロソフト365」が不正アクセスを受けた部分について、IDとパスワードだけで管理していたのが問題という論調の記事がいくつかありました。

三菱電機、不正アクセスで取引先の口座情報8000件流出 :日本経済新聞 

しかし三菱電機側は実際は2段階認証を行っていた様です。

 三菱電機ではさらに厳重なセキュリティー対策を講じていた。マイクロソフト365の利用に必要なIDとパスワード認証に加え、社内ネットワーク内での本人認証システムをパスしなければ利用できない「2段階認証」を採り入れていた。

 ところがハッカーは、認証システムが発行する「電子チケット」を手に入れ、中国国内に割り当てられたIPアドレスから、やすやすと侵入してきた。入手経路は全く分かっていない

 (朝日新聞記事より引用)

2段階認証の”中身”実装方式にミスなどが気になりますが、三菱電機は内部からの特権IDのアクセスに関して一般的な対策はしていたのかと思います。

尚、2段階認証の”中身”は、記事には書かれてませんし、三菱電機の公表している資料には見つけられませんでした。

朝日新聞記事には「認証システムが発行する電子チケット」が窃取されたと書かれています。これが具体的に何を指すのかはよく分からないのですが、例えば認証済で一定期間有効なトークン(認証情報)が窃取されたと(も)読み取れます。

仮にこの解釈が正しいのだとすれば、管理者アカウント(特権ID)がマルウェア等で侵害を受けていた、あるいは電子チケット(認証情報)が安全に保管されてなかった、といった点を突かれた可能性を感じます。※根拠はありません。 

更に言えば、2段階認証ですので、管理者アカウント(特権ID)のIDとパスワードが漏えいしていた事になるのかと思いますが、機密性が高い管理者アカウント情報がどうやって漏えいしたのか、ここも分からない所です。

前回の2019年6月の中国ハッカー集団「BlackTech」の侵害があった際に、公式発表(アーカイブ)は漏えいした情報の中に記載が無かった様に思えますが、管理者アカウントの情報も同時に漏えいしていた事も考えられます。

※朝日新聞記事ではその可能性についても触れています。もう一度公式発表を読み直してみましたが、「等」位しか当該箇所に当たる部分を見出せませんでした。

2. 流出した可能性のある機密情報

企業機密 :技術資料・営業資料 

(前回の公式発表2020年1月20日より引用)

他に考えられる可能性は、パスワードの使い回しですが、1度侵害事件が発生して、内部でもセキュリティ意識が高まっている中で、特権ユーザーアカウントを持つ3人がそうしたミスを犯していたのかと考えれば・・・2段階認証を過信していた場合は別にして、可能性は低い気がします。

※この辺りは続報が出ないと分からない部分ではあります(※セキュリティを考慮して情報が出てこないかも知れませんが)が、APT攻撃だったのか単純なミスだったのかは気になる所です。 

今回の攻撃について、記事では防ぎづらい攻撃だったと分析しています。(記事を読む限り)認証情報を窃取した後の攻撃については、私も同感です。しかし認証情報の窃取(特に2段階認証部分や、社内IP接続情報)を考えると、現時点で痕跡が残ってないとしても、それは現時点で見つけられてないだけで、攻撃の発端部分についてはAPT攻撃だった気がします。

 同社は今回も、中国系ハッカーが関与したとの見方を強めている。ただ前回と異なるのは、ウイルスなど不正プログラムを使った痕跡がなく正規の利用者と同じ手順を踏んで接続していることだ。

 そこから異変をつかむことは容易ではない。ハッキングの痕跡が見つからない今回のサイバー攻撃について、NTTデータのセキュリティー専門家、新井悠さんは「利用者本人と見分けがつかず、攻撃者の特定も難しい。セキュリティー業界が最も危険視する、恐ろしい攻撃だ」と指摘する。

(朝日新聞記事より引用)

余談です。三菱電機はセキュリティ対策に自信があり、また他社にセキュリティ製品やサービスを販売している(宣伝)面もあるのかと思いますが、外部に情報を開示し過ぎだと思います。

※下記の情報が今回のインシデントに繋がったという根拠はありません

 例えば2017年のIT基盤導入の記事アーカイブでは、構成イメージから今回の侵入経路が(大まかに)予想できますし、

f:id:foxcafelate:20201121083135p:plain

 2018年の論文では、もう少し細かくその中身について書いています。

f:id:foxcafelate:20201121083428p:plainf:id:foxcafelate:20201121083453p:plain

f:id:foxcafelate:20201121083528p:plainf:id:foxcafelate:20201121083554p:plain

 いずれも公開情報です(ネット検索で普通に見つかります)。こうした優れたセキュリティ設計は、多くの顧客にとって参考になる部分が多いかと思います。

しかし、ハッカー(攻撃)側にとってもそれは同様です。

勿論、こうした公開資料に書いても良い程度の情報しか書かれてないのかと思いますし、多層防御の肝となる部分は隠しているのかとは思いますが、ATP攻撃を行う優れたハッカーであれば、こうした情報を元に、次の情報窃取を狙う(ラテラルムーブメントのヒントとする)事は十分可能かと思います。

情報を隠すのもセキュリティだと私は思います。

ー2021/12/28追記ー

三菱電機の流出可能性ファイル59件に安全保障関連情報 - 防衛省調査

2020年1月に明らかとなった三菱電機に対するサイバー攻撃で、防衛省は同社より流出した可能性がある一部データに安全保障へ影響を及ぼす可能性がある情報が含まれていたとの調査結果を取りまとめた。

事件の発覚を受けて、防衛関連の情報を含むファイル約2万件について調査を実施し、安全保障へ影響を及ぼすおそれがあるデータが59件あったことが判明したもの。

同省では今回の調査結果を受けて、適切な措置を講じたと説明。同社に対して情報の適切な取扱いを徹底するよう指示した。

同省では防衛産業におけるサイバーセキュリティ体制の強化に向けて、2021年度中に現行より厳格な「NIST SP800-171」と同程度の管理策を盛り込んだ基準の規則化を推進する。

また今回の調査結果を受けて、三菱電機では同省より貸与された注意情報3件が適切に管理できなかったとして注意を受けたことを明らかにした。同省の規則に従い、管理を徹底するとともに、引き続きセキュリティの強化に努めるとしている。