2020年1月20日、三菱電機へのサイバー攻撃がニュースになっており、これから内部や外部報道などにより、全容が明らかになってくると思われます。
(1月20日13:40現在、「お知らせ」という形でトップページにリンクが小さく表示されるようになりました)
三菱電機としては、相当なセキュリティ体制を敷いているという話にもかかわらず、こういう事象が起こってしまうことに、セキュリティに絶対はない(ただ、確率を減らすためにやる意義は確実にある)というのも感じる次第です。
今回の方法は、不特定多数ではなく、三菱電機を狙った標的型攻撃であるといわれていますが、
いわゆるサイバー攻撃における、標的型攻撃とばらまき型攻撃という2種類の手段に関して、改めてかみくだいてまとめてみました。
なお、下記の記事は、ソフトバンク・テクノロジーの辻伸弘様の著書、あなたがセキュリティで困っている理由(政府刊行物のサイトにリンクされます)を参考に記載しております。
当書籍は、一般ユーザーと、セキュリティ専門家の橋渡しをするブリッジ的立場の人にとって、セキュリティの初心者・一般ユーザー向け解説を容易にする書籍で、ある程度の知識がある人にとってはわかりやすいです。
興味のある方はぜひ書店でお求めください。
三菱電機がターゲットになったと想定される、標的型攻撃とは?
一言でいうと、「文字通りこの会社(の様々なもの)を狙おう」という攻撃手法です。
警視庁の資料では、当該資料のP4で、
警察庁では、市販のウイルス対策ソフトでは検知できない不正プログラムを添付して、
業務に関連した正当なものであるかのように装った電子メールを送信し、これを受信した
コンピュータを不正プログラムに感染させるなどして、情報の窃取を図るものを「標的型
メール攻撃」としているところ、同じ文面や不正プログラムが10か所以上に送付されてい
た標的型メール攻撃を「ばらまき型」として集計している。
としております。
ばらまき型のプログラムは、不特定多数に文字通り「ばらまかれ」、セキュリティ会社もそれを感知し、対策ファイルを作成します。また、似たような種類でも、「ヒューリスティック検知(ふるまい検知)」で、「あのウイルスやマルウェアと似ているな・・・」と、動きを封じ込めることができます。
一方、標的型攻撃は、特定のターゲットを狙い、メールを送りつけるなどし、ターゲットとする組織をウイルス・マルウェアに感染させます。
ここで、市販のセキュリティソフトやその他セキュリティプロダクトの目をかいくぐる、ある種オーダーメイドのウイルス・マルウェアを作り、特定ターゲットを狙うので、セキュリティソフトなどを入れていても検知ができない・・・というケースもあるようです。
今回の三菱電機の場合は、まさにそのケースでした。
そりゃそうだよね>『対策ソフトはウイルスを検知せず、歯が立たなかった。これは、同社を攻撃するためだけの特注ウイルスが使われた可能性が高いことを示唆している』 / “【独自】三菱電機にサイバー攻撃 防衛などの情報流出か:朝日新聞デジタル” https://t.co/tiNhUoHJ3E
— 徳丸 浩 (@ockeghem) January 19, 2020
いずれにしても、攻撃側はターゲットのデータを詐取、その他何らかの悪意を持ったことが目的かつ、一度感染すると内部ネットワークを通しウイルス・マルウェアが蔓延したり、サーバーからデータが窃取され、攻撃者や関係者に送られるなど、内部での被害が極めて大きくなります。
よくある迷惑メールは、ばらまき型攻撃
一方、当サイトでよく取り扱っているEmotet・Trickbot・ryukその他マルウェアを呼び込む迷惑メールは、不特定多数をターゲットにするケースが極めて多いです。
感染したコンピュータを乗っ取り、何千万通・何億通とばらまいて、その後にryukなどの身代金型ランサムウェアなど悪質なランサムウェアをひきつれてくる。
ただ、送られる量が大量なため、セキュリティソフト会社もすぐに検知し、対策を行います。
標的型攻撃メールは、こっそり動く傾向?
ばらまき型メールが、わかりやすい行動(ばらまき、データの暗号化による身代金要求など)を図る一方、標的型攻撃メールは、感染したことに気がつきにくく、セキュリティソフトで検知しきれないケースもある、外部からの指摘で初めて気づくなど、ともかく見えないように、で行動します。
サイバー攻撃を受けた場合の適切な対応とは?
今回、三菱電機が2019年6月28日にに端末の不審な挙動を認識したあと、その事実が公表されず、2020年1月20日に朝日新聞がすっぱ抜いたことで、初めて事態が公になったわけですが、このことについては、「なぜ今まで公表しなかったのだろう」という意見と、「二次被害など追加の被害を防ぐには、公開しなかったのは致し方ない」という意見がありました。
どうやら、三菱電機はサイバー攻撃について去年6月頃から把握していたようです。
どうして半年以上も公表しなかったのでしょう…
— おとな理科のおたれ (@otare_sc) January 19, 2020
公表したら、
「セキュリティを突破できます」
というのを自ら言うようなものです。
そんなことをしたら、更に別のハッカーに狙われかねないので、全容把握して対策するまでは公表しないと思います。— 背の高い人 (@mox2265) January 20, 2020
など、異なる意見が出ています。
ただ、あなたがセキュリティで困っている理由のP178以降によると、
- サイバー攻撃を受けたら、攻撃の内容などを積極的に公開しよう
- 他組織が被害を未然に防ぐのに役立ったり、攻撃に気づくきっかけになる
- セキュリティ攻撃は分業化が進んでおり、攻撃を受ける側も協力する必要がある
とした上で、
- 調べる項目のリストアップ
- 氏名など個人情報が含まれる場合は、顧客・従業員・その他と分けて、慎重に対応
- 感染経路(内部・外部)、原因(ウイルス・マルウェアかサーバーの不具合か)、漏洩した人・目的(外部・内部・目的)、漏洩したデータ(個人情報を含むか、暗号化の有無、業務に与える影響)などを確認
- ウイルスはハッシュ値まで確認
- 第三者への影響を確認
など挙げています。(ぜひ、より詳しい部分は本書をお読みください)
そして、伝統的な企業の場合、事故が発生すると、発生の攻撃を受けてしまった人だけでなく、その上司・セキュリティ責任者など、様々な方面に責任や人事・評価などのマイナスが生じるため、隠そういう方向に行く恐れも拭えません。
被害の拡大を防ぐには、初期の時点で対応すること、また、(伝統的な企業ほど難しいとは思いますが)何か事故が起こっても適切に対応すれば、マイナス評価にしないという方針をあらかじめさだめ、悪い情報にフタがされないようにすることも大切だと思います。
営業・サービス開発の攻めの部分に関しては、どうしても日頃から日が当たりやすく、一方セキュリティやシステムの運営などは、「普段うまくいって当たり前」「なにかあったら徹底的に矢面に立たされる」という側面があります。
セキュリティに対して様々な投資を行い、人材についても、安定した運営だけでなく、インシデントに対しても、情報を上げて適切に対応したことを評価するなど、セキュリティ担当者を尊重するようにしていかないと、今後も同様のインシデントが発生するように思えてなりません。