Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

三菱重工へのソーシャルエンジニアリング

三菱重工への攻撃起点は社用モバイルPCでのSNS不正利用だった様です。

www.nikkei.com

 

三菱重工業は7日、名古屋市などの拠点のインターネット通信網が第三者による不正なアクセスを受けたと発表した。在宅勤務中の社員が社内ネットワークを経由せずにSNS(交流サイト)を利用した際、業務用のパソコンがウイルスに感染した。同じサーバーを利用する複数の従業員の個人情報の一部が流出した。

機密情報や取引先の情報の漏洩は確認されていない。5月21日に不正アクセスを検知して調査を始め、従業員の個人情報の流出を確認した。

在宅勤務中の社員のパソコンは社内ネットワークを経由して接続しているが、一部のパソコンで外部接続ができるようになっていたという。再発防止に向け、従業員が会社のパソコンから外部ネットワークに接続できないようにする対策を講じた。三菱重工はネットへの接続体制の「社内の監視体制を一層強化する」としている。

日経新聞記事より引用)

 

公式発表

 

キタきつねの所感

恐らく標的型攻撃の一環だったのかと思います。公式発表に詳しい経緯が書かれていましたので引用しますが、社用端末でSNS(私用)を利用したのが発端の様です。

リクルートや広報等の理由で公式SNSアカウントを当該従業員が持っていた可能性もありますが、それについては公式発表で触れられていませんので、私用だったと推測して記載しています。

 

普通は社内ルールでこうしたSNSの私用利用が禁止が書かれていると思いますので、まずここに原因があったと考えるべきかと思います。

2点目のポイントが、『社内ネットワークを経ずに外部ネットワークに接続できた』事です。これも原因の1つとなっていますが、時期(4/29)を考えると、ここは仕方が無かった面もあるかと思います。

4/7からの緊急事態宣言中ですので、急遽のテレワークで端末設定が徹底されてなかった可能性は、三菱重工だけでなく普通にあった時期かと思いますし、不安に思う心理からSNSで情報収集される方もこの時期多かったのはよく分かります。

しかし普通は・・・私用端末でSNS利用するのではないかとは思いますが。。。

4/29 当社グループの従業員が、在宅勤務時に自宅で社内ネットワークを経由せずに外部ネットワークへ接続SNSソーシャル・ネットワーキング・サービス)を利用した際に、第三者から受領したウイルスを含んだファイルをダウンロードしたことにより、当該従業員の社有PCが感染。
5/7 当該従業員が出社し、社内ネットワークに接続。
5/18 社内ネットワークを通じ、感染が拡大。
5/21 外部不正通信を検知し、調査を開始。
5/22~ 不正アクセスを受けた機器が判明したため、ネットワークから遮断する等の初動対策を直ちに行った後、通信ログ等の解析を開始。
6/16~ パケット情報を分析、その解読・精査を開始。
7/21 流出を確認した情報の精査を完了。

 

ここで気になるのが、何のSNSでウィルス感染したのだろうかという部分です。Twitterではないと思いますので、Facebookと考えるのが妥当な気がしますが、海外とのコンタクトが多い方でしたら、Linkedin(※こちらは海外で攻撃例が多数報告されています)という可能性もあるかも知れません。

 

公式発表や各社報道にはSNSを特定させる情報は掲載されていませんでしたので、詳細は分かりませんが、仮にFacebook(やLinkedin)だったとして、次に気になったのは、当該従業員は、何故添付ファイルを開いてしまったのだろうかという点です。

 

公式発表では、この部分について以下の様にソーシャルエンジニアリングだったと説明しています。

発生原因と対策

本事案は、SNSを悪用したソーシャルエンジニアリングが発端となっているため、その具体的内容を社内に周知し、注意喚起いたしました。
また、本事案発生時点では、社有モバイルPCを社内ネットワークを経由せずに外部ネットワークに接続し、利用することが可能な状態にあったことが、悪意のあるソーシャルエンジニアリングによる被害につながったものと考えております。本事案を受け、社有PCを外部ネットワークに接続する際、強制的に社内ネットワークを経由する処置(VPN強制接続)を適用しました。

(公式発表より引用)

 

フィッシングメールではなく、ソーシャルエンジニアリングと断言されている事から考えると、SNSでやり取りをした先が悪意のあるハッカーであった、あるいはSNSでのコンタクト先アカウントが乗っ取られていて、知人アカウントとして会話をしている中で、悪意のあるファイルを開くように誘導された、そんな可能性を感じます。

※ここも詳細は(当然)書かれていませんので、上記は想像になります。

 

重要インフラ企業である三菱重工ですので、従業員に対するセキュリティ教育はしっかりしていたと思いますが、コロナ禍での異常心理を突かれて、当該従業員は普段は行わない行動をしてしまった、そんな経緯だったのかと推察します。

 

さて、今回の三菱重工の被害範囲は、社内ネットワークまで拡散し、従業員情報等が漏えいしています。

2. 調査結果

感染が認められた社有PCおよびサーバを特定し、これらについて調査した結果、当社グループの機微な情報や機密性の高い技術情報、取引先に係る重要な情報の流出はありませんでした
なお、当該機器からの不正通信は、暗号化されていましたが、保管していたパケット情報を分析、解読して、流出した情報や攻撃者の動向を把握できました。
その結果、流出した主な情報は、当社グループのネットワークを利用する従業員等の個人情報(氏名およびメールアドレス)のほか、サーバのログ、通信パケット、サーバ設定情報等のIT関連情報であることを確認しています。

(公式発表より引用)

 

幸い機密情報は漏えいしてなかった様ですが、漏えいした情報の中でまず気になるのは、従業員の個人情報です。情報資産としての価値が氏名とメールアドレスだけではそう高くは無いと普通は判断されますが、重要インフラ企業の三菱重工のケースは別かと思います。

この情報を使って、次の攻撃(ソーシャルエンジニアリング含)でハッカー側が攻撃してくる可能性があるからです。

同様にサーバ設定情報等も、攻撃のヒントとなる情報が含まっているかも知れません。

 

 

さて、侵害が拡散した理由について公式発表では、以下の様な説明をしています。

3. 発生原因と対策

(中略)
影響範囲が当該従業員の社有PCから他機器に広がった要因として、同地区の一部のサーバのローカル特権アカウントに対し、同じパスワードが設定されていたことが考えられます。
特権アカウントを悪用され他機器にログインされたものと考えております。)これらに対し、ローカル特権アカウントのパスワードを全て異なるものに変更する対策を実施済みです。
今後も、社内の監視体制等を一層強化することにより、再発防止に努めてまいります。

(公式発表より引用)

 

何となく分かる様な分からない様な表現なのは広報上のテクニックだろうと思いますが、(以下、間違っているかも知れませんが)当該従業員の端末(感染)が社内ネットワークに接続した時点で、攻撃側が内部ネットワークに接続している一部のサーバの『特権アカウント』に対して(パスワードリスト)攻撃を仕掛けて成功してしまった、という事を書いているのかと思います。

 

複数のサーバでローカル特権アカウントが同じパスワードが設定されていたと書かれていますので、ここはかなり問題であったと考えるべきかと思います。

※名古屋地区だけの事だったのかも知れませんが、重要インフラ企業IT部門(管理者)の見識が問われるミスかと思います。

 

具体的なパスワードは当然書かれていませんが、『admin/admin』や『root/root』といった容易に推測できるIDとパスワードの組み合わせであったのではないでしょうか。

 

参考:パスワード2.0

www.jpac-privacy.jp

 

影響範囲は(現時点では)そう大きくはありませんが、複数のセキュリティ上のミスが内部ネットワークまで侵害を受けたと考えると、他山の石として、参考にすべき点が多数あるかと思います。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 SNSが表示されたスマートフォンのイラスト(炎上)

 

更新履歴

  • 2020年8月8日 AM(予約投稿)