2020年1月20日、日本の電子産業の一角を担う大手企業である三菱電機は、これまでにサイバー攻撃の被害に遭い個人情報や企業情報の流出などが発生していたことを公表した。社内人事情報が流出しただけではなく、企業の機密情報や、防衛省の「注意情報」にあたる情報も流出していたという。今では三菱電機を狙った巧妙な標的型攻撃であると、業界内では評価されている。
それだけでも興味深い事例ではあるが、今回、この話題を取り上げるのは、同社が2020年2月12日にニュースリリースとして出した「不正アクセスによる個人情報と企業機密の流出可能性について(第3報)」の内容が極めてすぐれたサイバーセキュリティの資料だったからである。この報告書には「当社は、今回の事案を教訓として、社会全体のセキュリティレベルの向上に貢献してまいります。」という一文がある。この資料を生かしつつ、解説を加えていきたい。
ウイルス対策管理サーバーにゼロデイ攻撃
この一連のインシデントは、公表から遡ること約10ヶ月前から始まっている。2019年3月18日に、三菱電機の中国拠点内ネットワークにあるウイルス対策管理サーバーにゼロデイ攻撃をしかけられ、それが成功した。
ゼロデイ攻撃とは、ユーザー側がその脆弱性の存在を知らず、守ることができないまま攻撃を受けることを意味している。もちろん、攻撃は成功してしまうことになる。報告書では、ウイルス対策管理サーバーのパターンファイルアップデート機能の脆弱性が使われたと説明されているが、ウイルス対策管理サーバーの種類は言及されていない。
システムを守るべきウイルス対策管理サーバーが攻撃側の突破口となり、システムへの侵入を許してしまうのは本末転倒である。しかし、セキュリティ専用のソフトウェアであっても、ソフトウェアであることは変わりなく、そして世の中には完全なソフトウェアなど存在しないため、そこに脆弱性があっても不思議ではない。
2019年9月10日、次のような興味深い注意喚起がJPCERT/CCから公表された。
・ウイルスバスター コーポレートエディションの脆弱性 (CVE-2019-9489) に関する注意喚起
もちろんこの脆弱性が三菱電機の攻撃で使われたかどうかはわからない。しかし、その1ヶ月後の10月28日に「ウイルスバスターコーポレートエディションの脆弱性 (CVE-2019-18187) に関する注意喚起」が公開された。その約5ヶ月後の2020年3月16日に「ウイルスバスター ビジネスセキュリティの脆弱性 (CVE-2020-8468) に関する注意喚起」が公開された。なお、3月16日に公開されたCVE-2020-8468は危険度が高いので早急なセキュリティ・アップデートが必要であることを付け加えておく。
ここからいえることは、どんなソフトウェアでも脆弱性の存在から完全には逃げられるわけではない、ということだ。