NTTコミュニケーションズ

Bizコンパス

三菱電機の不正アクセスに学ぶ、令和のサイバーセキュリティ
2020.04.06

セキュリティ最前線第7回

三菱電機の不正アクセスに学ぶ、令和のサイバーセキュリティ

著者 すずきひろのぶ (鈴木裕信)

失敗から学び取ることの重要性

 今回のインシデントを通して三菱電機は「技術」「情報管理」「組織体制」の3つの面から強化を図っている。細部に関しては、先に紹介した資料を参考として欲しい。ここでは筆者がポイントを思われる2点のみピックアップする。

 まず第一点目は、「境界モデル」からの脱却だ。つい最近まで、一般的なセキュリティ対策といえば、広域ネットワークであるインターネット側と組織内のネットワークをファイアウォールで分離し、外は危険で中は安全である、という境界型モデルが主流だった。

 しかし、今回のケースや、以前、この連載でも紹介したNASAのケースでもそうだったように、1台1台のPCやサーバーが自分自身を保護する機能を持たなければいけないし、同じ組織であっても、その内部のネットワークセグメント毎に分離し防御する時代になっている。

 最近ではゼロトラスト(・ネットワーク)というキーワードで語られることが多い。しかし、よくよく考えてみると、ホストが自分自身を守るのは基本であり、そのように自分を守る機能が不十分であること自体に問題がある。

 誤解がないように追記するが、サーバー環境で広く利用されているUNIX系のOSは、すべての機能は自己完結している考え方になっている。近年リリースされているGNU/Linuxの環境では、既にホストそのものがファイアウォールを持つホストベースドファイアウォールが最初から導入されている。さらに、最新のGNU/Linuxディストリビューションでは、より強固なセキュリティ環境を構築するメカニズムである「SELinux」がデフォルトで設定されているものも多い。

 一方で、SELinuxを理解し運用できるエンジニアは少なく、設定しているとうまくソフトウェアが動かないので、オフにしてしまうという現状もあり、セキュリティのトレードオフは一筋縄ではいかないことを筆者は痛感する。

 第二点目は、組織としての強化だ。三菱電機グループでは既に自社のCSIRTチームである「MELCO-CSIRT」を設置しているが、これをさらに強化する。また、情報セキュリティ全般を一元的に担う社長直轄の統括組織を新設するという。

 今回のケースでも、“技術的に分析する”という純粋な技術分野の問題と、“漏れた情報に関連する顧客対応”というコンプライアンスや営業分野の問題が同時に発生している。その時の司令塔となる組織は、360度を見渡せるポジションにあって、かつ全体を指揮出来るような権限を持っていなければならない。

 この組織的な問題に関して、筆者は「7payが本当に必要だったものとは何だったのか」の中で一貫してセキュリティに責任を持つ部署を持つことの重要性を説明したが、その考え方と同じである点は指摘しておきたい。

本格的な標的型攻撃を避けるのは難しい

 今回の三菱電機を攻撃した高い技術力を持ったサイバー攻撃グループに腰を据えられて狙われたら、これを防御するのはかなり難しいといえる。これは決して悲観的なわけにいっているわけでも、脅かしているわけでもない。

 攻撃者側は、ウイルス対策管理サーバーにあった脆弱性をみつけ出し、ゼロデイ攻撃を行った。企業に導入されるタイプのウイルス対策管理サーバーの脆弱性をみつけ、さらにそこから攻撃を行う手法まで見つけようとするならば、企業向けであるウイルス対策管理サーバーを入手し、時間をかけて徹底的に調査し見つけたと考えるのが合理的だ。そのような行為が個人レベルでできるとは考えづらい。

 PowerShellのファイルレス実行の機能を使い、リモートでマルウェアを外部から取り込み動かすことで証拠を残さないのは既に知られている。それでも、各サイトの環境の違いに応じたPowerShellのスクリプトを作成するノウハウが必要だ。中国側から入り、国際ネットワーク経由で日本へのゲートウェイとなるマシンを探すには、組織内ネットワークの構造を理解する必要があり、作業量が多いし、何よりもネットワークのノウハウが必要だ。

 調査の通り2019年3月18日が最初の侵入だとして発覚する6月28日までの約3ヶ月、三菱電機の日中にまたがるネットワーク上にいたことになる。もちろんもっと長く見つからず一年近く侵入していたNASAのケースもあるが、そうはいっても3ヶ月見つからずに活動していたのは注目すべき部分である。

SHARE

関連記事

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

2020.01.08

セキュリティ対策に求められる新たな視点第10回

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

ランサムウェア?破壊型マルウェア?LockerGogaの罠

2019.12.25

セキュリティ最前線第5回

ランサムウェア?破壊型マルウェア?LockerGogaの罠

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

2019.12.25

セキュリティ対策に求められる新たな視点第9回

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

サイバー攻撃よりも怖い「内部不正」はどう防ぐべきか?

2019.12.24

セキュリティの“盲点”第1回

サイバー攻撃よりも怖い「内部不正」はどう防ぐべきか?

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

NASAに学ぶ“反面教師”のセキュリティ対策

2019.11.07

セキュリティ最前線第3回

NASAに学ぶ“反面教師”のセキュリティ対策

人手が足りなくても、セキュリティレベルは高められる

2019.11.01

DXを加速させるITシステムの運用改革第12回

人手が足りなくても、セキュリティレベルは高められる

DMG森精機のOTセキュリティの取り組みとは

2019.10.11

セキュリティ対策に求められる新たな視点第7回

DMG森精機のOTセキュリティの取り組みとは