政府関係者のリークと思わしきNECへの不正アクセスによる情報流出懸念が1月30日の夜遅くに報じられました。この件については、既にpiyokango氏がまとめ記事を書かれているので少し迷ったのですが、現時点の情報ではいくつかの疑問点が残っている気がしますので、現在までに出ている情報を元に事件分析をしてみます。（※下記内容には過分に推測が入ります）

 

 

公式発表（NEC）

・当社の社内サーバへの不正アクセスについて（2020年1月31日）

 

 

キタきつねの所感

記事を時系列でみていくと、NECは30日深夜の段階では「情報漏えい」の疑いについて否定しています。しかし、31日AMの公式発表では「27,445件」とファイル件数まで公開していますので、30日段階ではマスコミ各社の取材に対して正直に答えてなかった事が推定されます。

また、共同通信とNHKの記事を見ると、既に「潜水用のセンサー技術」が書かれており、政府関係者のリークにこの内容が含まれていた事がわかります。

 

No	ソース	記事概要（引用）
1	日本経済新聞　電子版 2020/1/30 23:30	NECにサイバー攻撃　防衛装備品の情報流出か NECが何者かによるサイバー攻撃を受け、社内ネットワークに不正侵入された恐れがあることが30日、わかった。同社は防衛装備品を手掛けており、関連情報が流出した恐れがあるという。
2	NHK 2020年1月30日 23時56分	ＮＥＣにサイバー攻撃 ２万件超えるファイルの情報流出か 関係者によりますとＮＥＣは、おととしまでの数年間にサイバー攻撃によって社内のサーバーなどが不正なアクセスを受け、およそ２万8000件のファイルが流出した可能性があるということです。 この中には潜水艦用のセンサー技術といった防衛に関するものも含まれていたということですが、ＮＥＣは「日頃からネットワークに対して不正アクセスの試みが疑われる事例はあるが、情報流出などの被害は確認されていない」としています。 （中略） 防衛省は「防衛省が保護すべき情報が流出した事実はありません。防衛省としては今後とも関連企業と連携して情報セキュリティーの確保に努めます」としています。
3	共同通信 2020/1/31 01:05 (JST)1/31 01:15 (JST)updated	NECにサイバー攻撃　海自潜水艦情報流出か 　大手総合電機メーカーのNECが2018年までの数年間にわたり大規模なサイバー攻撃を受け、本社などのパソコンやサーバーに保存されていたファイル約2万8千点が外部流出した可能性があることが分かった。同社が手がける潜水艦用センサーの情報など自衛隊装備に関する資料も含まれていた。30日までに政府筋など複数の関係者が明らかにした。中国系ハッカー集団が関与した「標的型」攻撃の疑いがあるという。

 

31日の朝になると、東京新聞等の独自取材の結果、もう少し詳細な情報が出てきます。

攻撃者が「ログの一部を消去」していた事も判明し、そうした技術的対応を行う事ができるハッカーが関与していた（＝国が関与すると思われるAPT攻撃であった）可能性が高くなりました。（※一部識者は、高度な技術を持つハッカーはログを消去ではなく、ログを改変して解析をミスリードする事もあるので、ハッカーのレベルは若干低かったのではないか？ともコメントしてましたが、ここではAPT攻撃としておきます）

 

東京新聞の朝刊の段階でも「防衛省・海上自衛隊に関係する資料」が漏えいデータに含まれていたと明示されており、NECの30日夜コメントが正確でなかった事が改めて浮き彫りになっています。

しかし31日AMにはNECは「当社の防衛事業部門で利用している他部門との情報共有用の社内サーバに保存された27,445件のファイルに対して不正アクセスが行われていた事実が判明しました」「これまで情報流出等の被害は確認されておりません。」「これらのファイルには秘密等や個人情報は含まれておりません」と発表し、不正アクセスによりファイルが外部に漏えいしていた事を認めました。

※尚、事件と直接的には関係はないと思われますが、「不正アクセスの試み」をNECが日常的に受けている事もコメントされており、重要インフラ企業が海外ハッカーの攻撃対象となっている事が改めて分かります。

No	ソース	記事概要（引用）
4	東京新聞 2020年1月31日 朝刊	ＮＥＣにサイバー攻撃　中国系集団関与疑い　海自情報流出か （中略） 　複数の関係者によると、不正アクセスの通信記録（ログ）の一部が巧妙に消されていた。実際に外部に送信された確実な証拠は得られなかったが、流出の疑いがあり、ＮＥＣは社内ネットワークを改修し脆弱（ぜいじゃく）性を補う措置を取った。 　取材に対し、ＮＥＣは三十日、「日ごろから当社の全ネットワークに対し不正アクセスの試みが疑われる事例はあるが、これまでに情報流出などの被害は確認されていない」と回答。防衛装備庁も同日、「防衛省の保護すべき情報が流出したことはない」と説明している。 　関係者らによると、海外の組織的な攻撃とみられ、防衛省は被害を確認するために職員をＮＥＣに派遣。不正アクセスの対象となった約二万八千ファイルを精査した結果、多くが海上自衛隊向けの事業に関する資料と判明した。防衛省への技術提案書もあり、潜水艦が相手艦の位置を探るためのソナーのセンサーに関する情報も含まれていた。 　一八年に「不審な通信がある」と社外から情報が寄せられ発覚した。分析の結果、一四年ごろ北陸地方の子会社のパソコンが狙われ、仕込まれたマルウエア（悪意のあるソフト）が本社ネットワークに侵入した可能性が高いことが判明した。 　狙われたファイルは、高度な情報保全環境を持つ社内の防衛部門が、民生部門と情報共有する際に使う「中間エリア」のサーバーに保存されていたもので、ファイルが不正にコピーされて拡散し、セキュリティーが甘いパソコンから流出した疑いがある。 　マルウエアは数年間の潜伏期間を経てからサーバーの情報を狙った不正通信を実行したとみられる。

 

キタきつねの注目ポイント

広報的な上手な言い回しだとは思いますが、公式発表の「・・・ファイルに対して不正アクセス」「これまで情報流出等の被害は確認されておりません。」「これらのファイルには秘密等や個人情報は含まれておりません」が少しひっかかります。

公式発表には最初の侵害の所が一切触れられていません。ラテラルムーブメント（NWの横移動）の結果である、『他部門との情報共有用の社内サーバ』が侵害を受けた事をのみを認めている内容になっています。

そもそもが、マルウェアによる不正侵入であるならば、最初はフィッシングメールや水飲み場攻撃等で、担当者端末が侵害された可能性が高いかと思います。その場合、担当者端末にあるメール情報や担当者が保存していたファイルが漏えいしていた、つまりもっと影響範囲が大きかったと推測されます。そう考えると公式発表以外の所は、本当に守り切れていたのか？という疑問が残ります。

 

各社の関連記事の中で、東京新聞だけが、最初の侵入ルートが「北陸地方の子会社」の可能性を指摘しています。記事の書き方から、フォレンジック（事故）調査結果を取材の上で書いた様に思えます。そう考えるとNEC広報は意図的に一部情報を発表してない気がします。

www.tokyo-np.co.jp

分析の結果、一四年ごろ北陸地方の子会社のパソコンが狙われ、仕込まれたマルウエア（悪意のあるソフト）が本社ネットワークに侵入した可能性が高いことが判明した。

（東京新聞記事より引用） 

 

この北陸の子会社、どこを指しているのかな？と調べてみたのですが現在北陸に本社がある子会社が見つけられませんでした。（北陸支店はヒットするのですが・・）

怪しいかなと感じたのが、下記の記事にある現在『NECソリューションイノベータ』に2014年4月に統合された『北陸日本電気ソフトウェア』です。

2017年6月にNECが不正侵害を検知した際に、会社統合によってシステム更新がされ、フォレンジック調査に耐えられる『証拠』（ログ等）が見つけられなかったのかな・・・と意図的な侵入点情報の非開示の原因を想像します

jpn.nec.com

 

 

関係省庁のコメント（経産省・防衛省）

先日の三菱電機でも情報公開が遅い・・と問題になりましたが、今回はそれよりもさらに前の侵害事件、そして重要インフラが立て続けに2件情報漏えいを発表したという事で、関係省庁のコメントも少し厳しめに出されていました。

No	ソース	記事概要（引用）
1	TBS 1月31日 13時32分	梶山経産相「情報発信の改善点ないかよく考えて」 サイバー攻撃めぐり 　「不正アクセスを受けた企業は、事案が発生した場合の対外的な情報発信のあり方について、改善すべき点がないかよく考えていただきたい」（梶山弘志経産相） 　梶山経産大臣は閣議の後の会見で、ＮＥＣや三菱電機など、サイバー攻撃によって政府の機密情報が漏出したおそれのある事案について、このように述べたうえで、不正アクセスを受けた場合、「できる限り速やかに報告をいただきたい」としています。
2	時事通信 2020年01月31日12時31分	三菱電、ＮＥＣ以外もサイバー攻撃　未公表２件、機密漏れなし―河野防衛相 　三菱電機とＮＥＣがサイバー攻撃を受けた問題に関連し、両社以外に防衛関連企業への不正アクセスが２０１６年度と１８年度にそれぞれ１件ずつ防衛省に報告されていたことが分かった。河野太郎防衛相が３１日の記者会見で明らかにした。 　河野氏は「いずれも防衛省が指定した秘密等は流出していない」とし、当該企業との調整が付けば概要を公表する考えを示した。 　防衛省はこれまで、不正アクセスがあっても機密流出がなければ未公表扱いとしてきたが、河野氏は「事案を知り、防御を考えていただくことは大事だ」と述べ、今後は公表する方針を示した。「防衛装備産業全体としても考えてもらわなければならない」とも指摘。企業側にサイバー攻撃への対応強化を求めた。
3	NHK 2020年1月31日 13時55分	ＮＥＣサイバー攻撃「防衛省指定の秘密情報 流出なし」防衛相 ＮＥＣは、おととしまでにサイバー攻撃で社内のサーバーなどが不正なアクセスを受け、潜水艦用のセンサー技術といった防衛に関するものも含め、２万件を超えるファイルが流出した可能性があることが分かっています。 これについて河野防衛大臣は記者会見で「防衛省が指定した秘密などの情報が流出したことはない」と述べました。 そのうえで「潜水艦ソナーに関する社内研究なども含まれ、防衛省が指定した秘密などを類推させるおそれも完全に排除できないが、安全保障上の影響は、特段無いと考えている」と述べました。
4	朝日新聞 2020年1月31日 19時02分	経産相、NEC会長呼び出し　サイバー攻撃の報告求める 　NECと三菱電機へのサイバー攻撃が相次いで発覚したことを受け、梶山弘志経済産業相は31日夕、両社が加盟する業界団体、電子情報技術産業協会（JEITA）の遠藤信博会長（NEC会長）を経産省に呼び出し、リスク管理を徹底し、重大事案は報告するよう求めた。 　会談は冒頭のみ報道陣に公開された。梶山氏はサイバー攻撃で企業情報が流出した可能性のある事例が続いていることについて「重く受け止めている」と発言。攻撃を受けてから経産省が報告を受けるまでに時間がかかったことを踏まえ、防衛省などと取引のある加盟企業が攻撃を受けた際は経産省に報告し、事実を公表するよう求めた。 　会談後、遠藤氏は報道陣の取材に応じ、「広い意味で情報の共有が遅れた。大変申し訳ない」と陳謝した。防衛省など関連省庁には報告していたとして、「隠蔽（いんぺい）というような話では決してない」とも述べた。

 

 

キタきつねの注目ポイント

河野防衛大臣の三菱電機、NEC以外にも「２０１６年度と１８年度にそれぞれ１件ずつ防衛省に報告されていた」事は、重要インフラ企業が更に侵害を受けている（公表してない）可能性を示唆していると思います。

余談ですが、梶山経産大臣が、JEITA経由でNECの遠藤会長を呼び出して会談冒頭を報道陣に公開しつつ、経産省への報告を求めた所は流石に上手だなと思いました。これで他の企業も隠ぺい（非公表）がしづらくなるのではないでしょうか。過去の事件まで含めた報告期限は2月14日までとの事ですから、被害を受けてまだ報告してない企業にとっては「重たいバレンタインデープレゼント」となりそうです。

 

 

事件の発端

2016年12月以降に行われた攻撃の初期侵入について、公式発表では詳細が開示されていません。

また事件を検知した発端は「2017年6月、セキュリティ企業の脅威レポートに記載された通信パターンの発生有無を確認した結果、社内のPCから不正通信が行われていることを確認し、感染PCの隔離・調査、不正通信先の検知・遮断を実施しました。」と発表されていますが、セキュリティ企業名は公開されていません。

 

キタきつねの注目ポイント

NECは他社に対してもセキュリティ商品や技術を提供していますので、自社でも高度なセキュリティ体制を構築していたと思われます。仮に2016年12月が最初の侵害ポイントだったとした場合、2017年6月に侵害検知するまでに半年かかっていますので、NECの（提供している）技術が顧客に「あまり役に立たない」と思われる事を嫌ったというのも未公表とした要因の１つなのかも知れません。

 

余談です。三菱電機の事件でも鋭い視点で記事を書いてらっしゃいましたが、NECの件でも下記のブログでは「確定」記事を書かれていました。この内容が正しいのであれば「ウィルスバスター」を使っている重要インフラ関連企業は集中的に狙われている（いた）と考えた方が良いのかも知れません。

blog.livedoor.jp

 

 

本日もご来訪ありがとうございました。

Thank you for your visit.

 

 

 

 

 

更新履歴

• 2020年2月1日 AM（予約投稿）