NTTコミュニケーションズ

Bizコンパス

三菱電機の不正アクセスに学ぶ、令和のサイバーセキュリティ
2020.04.06

セキュリティ最前線第7回

三菱電機の不正アクセスに学ぶ、令和のサイバーセキュリティ

著者 すずきひろのぶ (鈴木裕信)

侵入から攻撃まで

 攻撃者は、三菱電機の中国拠点にあるウイルス対策管理サーバーを外部から攻略した後、そこを拠点として社内ネットワークにつながっているPCに攻撃を仕掛けていった。その際に使われたのがWindows  PowerShell (以降PowerShell)のリモート実行の機能だ。

  PowerShell は、システム管理者向けのツールで、管理者のPCからPowerShellを使って組織内のすべてのPC上でアップデートを行ったり、ファイルの配布をしたり、あるいはPCのソフトウェア環境を設定するなどができる。多数導入されているPCの一括管理ができるという便利なものである。PowerShellのスクリプトを用意して、組織内のネットワークにつながっているPCに一斉に送りつけ、そのスクリプトを実行することもできる。Windows 10 バージョン 1607以降、Windows Server 2016、Windows Server 2019では最初から用意されている。

 PowerShellは、スクリプトを直接メモリ上にダウンロードし実行するファイルレス実行機能という興味深い機能を持っている。

 この手のアップデートや構成管理をするソフトウェアは、通常、一旦スクリプトファイルをPC上にダウンロードし、そのスクリプトファイルを実行することになる。そのためファイルを消去したとしても、後からフォレンジック(証拠をみつける手法)で見つけることは、さほど難しくはない。

 ところが、ファイルをダウンロードせずに、直接PowerShellに取り込み実行することが可能であるため、いい意味でも悪い意味でも、後からファイルをみつけて、どのようなスクリプトが実行されたかを調べることができない。よくいえば機密性が高い、悪い意味では、攻撃側がこのような機能を使った場合は証拠が残らないということになる。

 報告書には、端末のメモリ内で活動するファイルレスマルウェアが、PowerShellを用いて実行されたとあった。これは攻撃基地となっているウイルス対策管理サーバー(もしくは、後に組織内で攻略して長期攻撃用基地に仕立てたサーバーから)からリモート実行で、PCにインターネット上のクラウドサービスに用意した実行スクリプトをネットワーク越しに読み込み、ファイルレス実行させている、という意味であろう。

 もちろんPCをシャットダウンすれば終了となるが、たぶん活動拠点であるウイルス対策管理サーバーが、繰り返しPCにリモート実行させていたことだろう。マルウェアが活動するコンピュータと、感染・指令を行う攻撃基地となるコンピュータという形で、役目により分離させておくというのが近年のパターンだ。

 怪しい動きをする末端側のマルウェアは、挙動検知により見つけることも可能だが、密かに隠れている攻撃基地を見つけようとすると、ネットワークにつながっているすべてのコンピュータを悉皆検査(しっかいけんさ、すべて漏れなく検査すること)する必要がある。これには大変な労力とコストが必要となる。しかし、末端側だけ見つけて対処し安心していると、また、マルウェアが活動し始めることになるので、根絶のためには必要な作業である。

 次のステップは、三菱電機の中国拠点から、今度は日本国内のウイルス対策管理サーバーに同じ攻撃を行う。もちろん、同じく攻撃は成功することになる。さらに今度も同じ手法で日本国内のネットワーク内に接続されているPCに汚染を広げていく。

 しかし、いくらファイルレス実行されているマルウェアは証拠を残さないとはいっても、インターネット上への流出にはユーザーの意図しない通信が発生する。報告書によれば、6月28日に「ウイルス対策ソフトの挙動検知機能が、国内拠点の端末で不審な挙動を検知」し、そこが今回の発覚のきっかけとなる。7月8日にPowerShellのファイル名をブラウザの実行ファイル名に変更し、ファイルレスマルウェアを実行するための機能として使われていたことを確認し、不正アクセスと断定したと説明している。

 他にも同様にPowerShellのファイル名が書き換えられているPCがないかの調査を開始し、2日後の7月10日までに国内外にある三菱電機グループで利用されている約245,000台のPCをチェックした。国内外で132台PCとサーバーに感染の疑いがあり、うち9台が日本国内にあった。

 このような結果より、三菱電機は国内外の複数拠点にまたがる不正アクセスの可能性が高いと判断した。7月17日までに不正な通信先をすべて特定して、遮断、以降、不正アクセスは確認されず、三菱電機では封じ込め成功という判断をしている。

フォレンジック・証拠の回収と分析

 ここまでの対応は、まず攻撃をうけているので、それを止めるフェーズである。止まったことを確認後は、実際にどのような手法で攻撃を仕掛けたか、どんな情報が盗まれたか、などの実態解明、つまりフォレンジックのフェーズに入る。

 本来のフォレンジックとは、短くいえば「鑑識」である。もう少し正確に説明すると「裁判で提出するための証拠を見つけるための法科学」である。サイバーセキュリティの分野では(デジタル)フォレンジックとは、被害をうけたコンピュータから証拠を取り出し、何が行われたかの実態を分析することである。

 もちろん十分に信頼できる分析が必要であることはいうまでもない。8月1日からフォレンジック調査の作業はスタートしている。フォレンジックを行うには、エンジニアが専門のトレーニングを受うけるだけではなく、専用のソフトウェアやハードウェアを用意していないと難しい。三菱電機がどのような形で進めたか報告書には書かれてはいないが、多くの場合、専門の業者へ発注している。

 三菱電機では8月1日より、データ保全が完了したPCから、順次フォレンジック調査を含む詳細な解析を進めた。同時に通信とサーバーログ解析との突き合わせも含めて11月15日まで行った。約3ヶ月半、分析に時間をかけたことになる。根気のいる作業だったことは想像に難くない。

 三菱電機はこれらの分析の過程で知ったゼロデイ攻撃に使われた脆弱性、マルウェア分析情報、外部にある不正なサーバーの情報などは調査の終了を待たずに、既に8月29日にJPCERT/CCに報告している。サイバーセキュリティのコミュニティと情報共有することには、非常に重要なポイントである。コミュニティの中でノウハウを共有するだけではなく、より効果的な防御方法などを研究開発できる可能性が増えるからだ。

SHARE

関連記事

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

2020.01.08

セキュリティ対策に求められる新たな視点第10回

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

ランサムウェア?破壊型マルウェア?LockerGogaの罠

2019.12.25

セキュリティ最前線第5回

ランサムウェア?破壊型マルウェア?LockerGogaの罠

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

2019.12.25

セキュリティ対策に求められる新たな視点第9回

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

サイバー攻撃よりも怖い「内部不正」はどう防ぐべきか?

2019.12.24

セキュリティの“盲点”第1回

サイバー攻撃よりも怖い「内部不正」はどう防ぐべきか?

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

NASAに学ぶ“反面教師”のセキュリティ対策

2019.11.07

セキュリティ最前線第3回

NASAに学ぶ“反面教師”のセキュリティ対策

人手が足りなくても、セキュリティレベルは高められる

2019.11.01

DXを加速させるITシステムの運用改革第12回

人手が足りなくても、セキュリティレベルは高められる

DMG森精機のOTセキュリティの取り組みとは

2019.10.11

セキュリティ対策に求められる新たな視点第7回

DMG森精機のOTセキュリティの取り組みとは