2011年9月20日火曜日

三菱重の感染サーバー、海外通信…スパイ事件か

 〇_サイバーテロ

 IHI 2009年07月 外部に情報を流出させるウイルスなどを埋め込んだファイルを添付したメールが、防衛事業に携わる社員の社内メールなどに大量に送りつけられていた。

 川崎重工業 攻撃を受けた時期や規模については明らかにしていないが、「現時点で情報流出はない」としている。

 三菱電機 「不審なメールが時々送られてくる」と明らかにした。情報流出はないとしている。

 三菱重工 2011年8月11日


【中国新聞】
「情報保全は企業任せ」 防衛省、対策でジレンマも

 防衛産業の主力企業が標的となったサイバー攻撃。「防衛省に強制力はなく、メーカー側に情報保全をしっかりやってもらうしかない」。

防衛省は情報流出の恐れがでていることに危機感を募らせる一方、民間企業に対応を委ねざるを得ないジレンマを抱えている。

 「8月中旬ごろにサイバー攻撃を受け、調査している」。防衛産業最大手、「三菱重工業」の担当者ら約10人が防衛省を訪れて報告したのは、19日夕。防衛省職員が報道でサイバー攻撃を知り、問い合わせるまで、同社から何の連絡もなかった。

 防衛省によると、情報保全が必要な防衛装備品を調達する際には、契約条項に「情報漏えいやその恐れがある場合には、防衛省に速やかに報告する」との内容が含まれている。
 しかし、三菱重工からの報告は約1カ月後。IHIからも報告はなく、防衛省幹部は「こちらができることは何もない。企業には速やかに伝えてもらうしかないのが実情だ」と企業側の対応に不信感を募らせている。

 サイバー攻撃能力を高めているとされる中国軍を意識して、自衛隊自体は近年、サイバー対処能力を強化している。

2008年に「自衛隊指揮通信システム隊」を設け、今年3月には統合幕僚監部にサイバー企画調整官を設置し、サイバー攻撃への防護を担当。12年度にはシステム隊の下に「サイバー空間防衛隊」の新設を予定している。

 一方、重要な防衛情報を含んだ装備品を生産する企業をサイバー攻撃から防護することは自衛隊の任務外。別の防衛省幹部は「情報保全をより徹底するための方策を検討しなければならない。メーカー側が防護を怠れば、ペナルティーを科すことも必要になる」と強調しているが、具体策は見えていない。


【サーチナ】
 三菱重工業へのサイバー攻撃で、フォーカスシステムズに注目
2011/09/20(火) 08:52

先月も、防衛省、経済産業省、警察庁のホームページにサイバー攻撃

  三菱重工業は、19日外部からサーバーなどに侵入され、情報を抜き取られていた痕跡が見つかり、標的型攻撃によるスパイ行為の可能性が高いとして警察当局に届け出た。

  サイバーテロを行った犯人を探すには、デジタルフォレンジックによる調査待ちの状況であるが、国家機密を盗み出す行為は、個人の単独犯行とは思われない。

  サイバー攻撃を調査するデジタルフォレンジック関連銘柄としては、海外のベンダーと連携を強化し、最先端の製品を導入しているフォーカスシステムズ <4662> が一番に挙げられる。

  同社は、既に、最先端のデジタルフォレンジックの機器、ソフトを組み合わせて、最新のシステムを警察庁、海上保安庁、防衛省、税関、法務省に提案する等、官公庁には大きなパイプを持っている。

  先月も、防衛省、経済産業省、警察庁のホームページがサイバー攻撃を受けている。今後も官公庁を対象としたサイバー攻撃が予想されることから、デジタルフォレンジックへの需要は拡大するものと思われる。(情報提供:日本インタビュ新聞社=Media-IR)

デジタルフォレンジック
【digital forensics】(コンピュータフォレンジック)
別名 :computer forensics

不正アクセスや機密情報漏洩などコンピュータに関する犯罪や法的紛争が生じた際に、原因究明や捜査に必要な機器やデータ、電子的記録を収集・分析し、その法的な証拠性を明らかにする手段や技術の総称。

"forensics" には「法医学」「科学捜査」「鑑識」といった意味があり、分かりやすく意訳すれば「デジタル鑑識」。

対象となるのはパソコンサーバネットワーク機器、携帯電話情報家電など、デジタルデータを扱う機器全般。

容疑者のコンピュータを押収してハードディスクから証拠となるファイルを探し出したり、サーバのログファイルから不正アクセスの記録を割り出したり、破壊・消去されたディスクを復元して証拠となるデータを押収したりといった技術が該当する。

また、コピーや消去、改ざんが容易であるという電子データの性質に対応して、データが捏造されたものかどうかを検証する技術や、記録の段階でデータが改ざんできないよう工夫したりハッシュ値デジタル署名などで同一性を保全する技術なども含まれる。



【毎日】
 今回のサイバー攻撃の発覚は、三菱重工が導入した監視システムが、一部サーバーの異常を8月11日に検出したことがきっかけだ。

防衛関連機器を製造する別の大手メーカー幹部は「我が社も100%安全とは言い切れない。(現代は)外部の侵入者との戦争状態。今回もセキュリティーの見直しは避けられないだろう」と語る。

 特定の企業や団体を狙う「標的型」のサイバー攻撃は、国内では07年ごろから見つかるようになったとされるが、攻撃された側が情報流出に気づかないケースも多い。代表的な手口は、ウイルスなどを埋め込んだファイルをメールに添付して送信。このほか、サーバーに直接侵入したり、USBメモリーを媒体としてウイルスに感染させる--などの方法もある。侵入の痕跡を消すなど手口も高度化している。

警察庁は、国家機密の流出を防ぐため、民間企業約4000社や都道府県警とともに標的型攻撃の情報を共有するネットワークを8月に始めた。

 対策を導入して初めて、侵入に気づくケースも多いといい、セキュリティーソフト大手のトレンドマイクロは「攻撃にすぐ気づける仕組みを取り入れるべきだ。データの価値を選別し、重要なものには特にきめ細かな対策が必要」と話す。【竹地広憲、鮎川耕史】
 
◇防衛省、報告受けず
 防衛省幹部によると、自衛隊装備品の製造に関する契約では、企業がサイバー攻撃を受けた場合、防衛省に通報するよう定められている。

今回は18日までに報告がなかったため、同省が三菱重工と連絡を取ったところ、詳細な調査結果の判明は9月末になるとの見通しだった。同省は、事実関係の詳しい報告と再発防止を求めたうえで、今後の対応を検討する。【鈴木泰広】
毎日新聞 2011年9月20日 東京朝刊


「三菱重工業」がサイバー攻撃を受け、工場でサーバーやパソコンがコンピューターウイルスに感染した問題で、その一部が感染後、海外のウェブサイトに勝手に接続し、通信が行われていたことが19日、関係者の話でわかった。

 攻撃者がこれらの海外サイトを中継して、情報を抜き取ったり感染を拡大させたりしていた可能性もあり、相談を受けた警視庁は、スパイ事件の疑いがあるとみて、不正アクセス禁止法違反容疑などを視野に捜査する方針。

 防衛省も同日、同社に説明を求めた。

 関係者によると、委託を受けた情報セキュリティー会社が、感染したサーバーなどの記録を調べたところ、社外に設置されている14サイトに知らない間に接続していたことを確認。このうち少なくとも4サイトについては中国、香港、米国、インドにサーバーの場所が登録されていた。また、通信が行われていたことが疑われるサーバーなどは少なくとも20台に上る。
(2011年9月20日03時03分 読売新聞)


三菱重工サイバー攻撃、ウイルスに中国語簡体字

三菱重工業」が外部からサイバー攻撃を受け、サーバーやパソコン計83台がコンピューターウイルスに感染した問題で、感染したコンピューターを攻撃者が遠隔操作する画面で中国語が使われていたことが20日、関係者の話でわかった。

 中国語に堪能な人物が攻撃に関与した可能性が浮上したことから、警視庁は国際的なスパイ事件の疑いがあるとみて不正アクセス禁止法違反容疑などで捜査を進める方針。
 今回、感染が確認されたウイルスの中には、外部からコンピューターを操作できる「トロイの木馬」と呼ばれるタイプが含まれていたことが分かっている。
 関係者によると、情報セキュリティー会社が今回のウイルスをコピーして解析したところ、このウイルスを使って攻撃者が外部のパソコンなどから操作する画面には、中国の大陸で使われる簡体字が使用されていたことが判明。
(2011年9月20日14時36分 読売新聞


【インターネット ウォッチ】
三菱重工を含む防衛産業8社が標的型攻撃の被害に、Trend Microが分析

 Trend Microは19日、防衛産業の企業に対する標的型攻撃を確認しており、この攻撃の被害を受けたうちの1社が日本の三菱重工業だとして、確認されている攻撃手法などを公式ブログで明らかにした。

 Trend Microによると、標的型攻撃は日本、イスラエル、インド、米国の防衛産業の企業に対して行われていることが確認されており、この攻撃による被害を受けた8社を特定し、各企業に対して通知していたという。攻撃者は、複数の場所に存在する合計32台のコンピューターに侵入。これらのコンピューターによるネットワークは2011年7月から活動を継続しており、さらなる標的に向け悪意のある文書ファイルを送信しているという。
 この攻撃の被害を受けた8社のうちの1社が日本の三菱重工で、Trend Microでは三菱重工を狙った攻撃を正確には特定していないが、同じC&Cサーバー(Command & Controlサーバー、司令サーバー)に接続する攻撃のサンプルを分析しており、三菱重工も同様の方法で侵害されたと思われるとしている。また、三菱重工の他にも攻撃に用いられている、リモートアクセス型トロイの木馬のために特別に構築された、第2段階のマルウェアについても解析を行っている。

 攻撃は、悪意のあるPDFファイルをメールの添付ファイルとして送信し、Adobe FlashとAdobe Readerの脆弱性を利用してバックドアを標的PCに送り込む。バックドアはC&Cサーバーに接続して自身の情報を送信した後、さらなるコマンドを待ち構える。
 攻撃の第2段階は、まずC&Cサーバーからの司令により、標的PCがネットワーク情報と特定のディレクトリー内のファイル名を送信し、さらに別のバックドアをダウンロード。ネットワーク内のマシンに対して、パスワードのハッシュを利用した攻撃方法で侵入を試み、リモートアクセス型のトロイの木馬を送り込む。これにより、標的のシステムをリアルタイムでコントロールすることが可能になるという。

 Trend Microでは、この攻撃ネットワークは比較的少数のターゲットで構成されているが、標的となったマシンは防衛産業の企業の割合が高く、またマルウェアのコンポーネントが特定の企業のために作成されていることは、攻撃者の志向性を示していると分析している。

0 件のコメント: