Bizコンパス

三菱電機の不正アクセスに学ぶ、令和のサイバーセキュリティ
2020.04.06

セキュリティ最前線第7回

三菱電機の不正アクセスに学ぶ、令和のサイバーセキュリティ

著者 すずきひろのぶ (鈴木裕信)

 2020年1月20日、日本の電子産業の一角を担う大手企業である三菱電機は、これまでにサイバー攻撃の被害に遭い個人情報や企業情報の流出などが発生していたことを公表した。社内人事情報が流出しただけではなく、企業の機密情報や、防衛省の「注意情報」にあたる情報も流出していたという。今では三菱電機を狙った巧妙な標的型攻撃であると、業界内では評価されている。

 それだけでも興味深い事例ではあるが、今回、この話題を取り上げるのは、同社が2020年2月12日にニュースリリースとして出した「不正アクセスによる個人情報と企業機密の流出可能性について(第3報)」の内容が極めてすぐれたサイバーセキュリティの資料だったからである。この報告書には「当社は、今回の事案を教訓として、社会全体のセキュリティレベルの向上に貢献してまいります。」という一文がある。この資料を生かしつつ、解説を加えていきたい。

ウイルス対策管理サーバーにゼロデイ攻撃

 この一連のインシデントは、公表から遡ること約10ヶ月前から始まっている。2019年3月18日に、三菱電機の中国拠点内ネットワークにあるウイルス対策管理サーバーにゼロデイ攻撃をしかけられ、それが成功した。

 ゼロデイ攻撃とは、ユーザー側がその脆弱性の存在を知らず、守ることができないまま攻撃を受けることを意味している。もちろん、攻撃は成功してしまうことになる。報告書では、ウイルス対策管理サーバーのパターンファイルアップデート機能の脆弱性が使われたと説明されているが、ウイルス対策管理サーバーの種類は言及されていない。

 システムを守るべきウイルス対策管理サーバーが攻撃側の突破口となり、システムへの侵入を許してしまうのは本末転倒である。しかし、セキュリティ専用のソフトウェアであっても、ソフトウェアであることは変わりなく、そして世の中には完全なソフトウェアなど存在しないため、そこに脆弱性があっても不思議ではない。

 2019年9月10日、次のような興味深い注意喚起がJPCERT/CCから公表された。

ウイルスバスター コーポレートエディションの脆弱性 (CVE-2019-9489) に関する注意喚起

 もちろんこの脆弱性が三菱電機の攻撃で使われたかどうかはわからない。しかし、その1ヶ月後の10月28日に「ウイルスバスターコーポレートエディションの脆弱性 (CVE-2019-18187) に関する注意喚起」が公開された。その約5ヶ月後の2020年3月16日に「ウイルスバスター ビジネスセキュリティの脆弱性 (CVE-2020-8468) に関する注意喚起」が公開された。なお、3月16日に公開されたCVE-2020-8468は危険度が高いので早急なセキュリティ・アップデートが必要であることを付け加えておく。

 ここからいえることは、どんなソフトウェアでも脆弱性の存在から完全には逃げられるわけではない、ということだ。

次のページ

侵入から攻撃まで

SHARE

関連記事

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

2020.01.08

セキュリティ対策に求められる新たな視点第10回

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

ランサムウェア?破壊型マルウェア?LockerGogaの罠

2019.12.25

セキュリティ最前線第5回

ランサムウェア?破壊型マルウェア?LockerGogaの罠

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

2019.12.25

セキュリティ対策に求められる新たな視点第9回

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

サイバー攻撃よりも怖い「内部不正」はどう防ぐべきか?

2019.12.24

セキュリティの“盲点”第1回

サイバー攻撃よりも怖い「内部不正」はどう防ぐべきか?

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

NASAに学ぶ“反面教師”のセキュリティ対策

2019.11.07

セキュリティ最前線第3回

NASAに学ぶ“反面教師”のセキュリティ対策

人手が足りなくても、セキュリティレベルは高められる

2019.11.01

DXを加速させるITシステムの運用改革第12回

人手が足りなくても、セキュリティレベルは高められる

DMG森精機のOTセキュリティの取り組みとは

2019.10.11

セキュリティ対策に求められる新たな視点第7回

DMG森精機のOTセキュリティの取り組みとは