ログ消去もされていた三菱電機の不正アクセスについてまとめてみた - piyolog

2020年1月20日、三菱電機は自社ネットワークが不正アクセスを受け、個人情報等が外部へ流出した可能性があると発表しました。ここでは関連する情報をまとめます。報道によれば現在も三菱電機は不正アクセスへの社内調査等を進めています。 発端は研究所サーバーの不審ファイル動作 2019年6月28日に情報技術総合研究所のサーバーで不審なファイルが動作したことを社内で検知。 同じファイルが中国、及び国内他拠点で検出され内部侵害の被害を受けている可能性を受け調査を開始。 報道された出来事を時系列にまとめると以下の通り。 日時 出来事 2017年後半？ 三菱電機の中国国内子会社でマルウェア感染。 2019年3月18日 三菱電機が中国拠点のウイルスバスター法人向け製品の脆弱性を悪用された攻撃を受ける。*1 ： アップデート機能を悪用し中国拠点で侵害範囲が拡大。 2020年4月3日 中国拠点端末より国内拠点の

[monochrome_K2]

公表までに半年、政府が全力で火消し、ログが消されて肝心なところがわからないとか胡散臭いにも程があると思う

[viperbjpn]

“SKYSEA Client Viewの脆弱性（CVE-2016-7836）” 藤原竜也　“その全てを吐き出せ！”

[napsucks]

skyseaを入れることそのものが脆弱性の糸口になるんだな。トレンドにしてもなんにしても意識の低いまがいのものの自称セキュリティが幅を利かせてる本邦の悲しさ。

[tetsutalow]

さすがのまとめ。ありがたい。

[IGA-OS]

本格的な標的型攻撃。いずれ数年後のセキュリティ系カンファレンスで発表あるんやろな

[dollarss]

"ログが消されていた"事は分かっているならば「漏洩していない情報」は未確定なのでは？

[dogusare]

どういう目的でどういう情報を閲覧取得したのか気になるが答え合わせができない。ハッカー的達成感なのか軍事情報なのかランサムウェアの前段なのか企業ノウハウ詐取なのか。不正アクセスよりこの後の実害が怖い。

[hobo_king]

狙い澄ました攻撃。コレ読む限り、三菱電機の不正アクセス問題は特別機密性の高い情報以外のビジネス関連情報は丸裸にされてると見ていい状況かなあ。

[kitamati]

ハッカーは大喜びだったろうな。侵入して2～3ヶ月やりたい放題できたんだから。

[ebibibi]

氷山の一角…なんですかねぇ、やっぱり。 Windows Defender ATPのような仕組みはもう重要な情報を扱うところでは必須ですね。

[wogu]

毎度ながら良くまとめられてますね

[hib3]

常にハッキングについて考えてるやつ相手に常にハッキングについて考えてない全ての企業はセキュリティ的には確実に不利だよね

[asakura-t]

「ウイルス対策システム」が具体的になんなのかは未公表なのかな？

[maido3]

「Tick」による不正アクセスと報道。Tickは中国由来とみられるグループで日本、韓国を攻撃対象とする。命名したのはSymantec。

[pongeponge]

ログが消えてて被害範囲が分かるものなの？

[sho]

こんなにも広範囲にラテラルムーブできるの、どういう構成なんだろうな。

[tabibito3]

こわい・・。

[shiketanotsuna]

あの日本年金機構ですら公表までに１ヶ月未満だったのにね・・・

[Nobeee]

不正アクセスされてしまった時の為にもフルフォレンジングできるツールの導入は必須になってきたな‼️

[alt-native]

研究所も被害受けてんじゃん。防衛機密もやられたかもな。研究者の週報・日報とか全部読まれたら何つくってるか丸わかりだな。

[spam_lover]

SKYSEAの風評被害ワロタ

[dekaino]

「防衛、電力、鉄道等に係る機微情報、機密性の高い技術情報」が漏れていない確証はない。サーバが無事だっただけ。一般に役員会議議事録や官庁とのやりとり記録には機密情報が含まれているものだゾ。

[kazema_tsu]

重要な情報が漏れていないから楽観視しているけど、漏れた事実は変わらないからね。情報の重さは問題じゃないからね。

[tettekete37564]

良くまとまっている。不正アクセスっていうか中長期に侵入されてたのね

[taguch1]

影響がないところは別管理で攻撃の痕跡やログが消えてなかったってことか。

[haruyato]

最初に受けた印象より、漏洩情報は少ないイメージ。機密情報はそれほど抜かれていなさそう。三菱電機の振る舞い検知システムがどうなっていたのかだけが気になる。

[tyoro1210]

『SKYSEA Client Viewの脆弱性（CVE-2016-7836）の悪用やUSBドライブを悪用したエアギャップへの展開を行う手口』

[ryuichi1208]

“ログ消去され被害範囲確定できず”

[amoreroma]

“SKYSEA Client Viewの脆弱性（CVE-2016-7836）の悪用やUSBドライブを悪用したエアギャップへの展開を行う手口なども報告されていた。”

[ys0000]

海外関連会社のバックドア経由で侵略されたのか。これは仕方がない。関所じゃないけど、エクストラネット間で接続経路の絞り込みと、侵入検知をしないとダメなんだろうな。

[terlen0]

サーバのログは無いが200MBのデータが流出と判明しているから、ネットワークから追ったのかな？公表するにもセンシティブな情報ではある…

[Malan]

この手の大規模流出増えそう

[ykore52]

拠点単位に内部ネットワーク向けIPSとか設置した方が良いんじゃないですかね？海外拠点だとVPNで国内拠点までノーガードだと思うし

[SUZUSHIRO]

“三菱電機”

[hiroomi]

“SKYSEA Client Viewの脆弱性（CVE-2016-7836）の悪用やUSBドライブを悪用したエアギャップへの展開を行う手口なども”

[ookitasaburou]

“2019年6月28日に情報技術総合研究所のサーバーで不審なファイルが動作したことを社内で検知。 同じファイルが中国、及び国内他拠点で検出され内部侵害の被害を受けている可能性を受け調査を開始。”

[rgfx]

朝日新聞がすっぱ抜いたから「どうせしょうもない事案に違いない」とイライラしてた方々はどんな顔してんだろ。