事故から学ぶ

三菱パワーにマネージドサービス経由で不正アクセス、ソフトウェアの脆弱性突かれる

事故概要

業種 三菱パワー株式会社
発生時期 2000/9/7
漏えい人数 0
事故概要

三菱パワー株式会社は12月11日、同社のネットワークがマネージド・サービス・プロバイダ(MSP)を経由した第三者からの不正アクセスを確認したと発表した。
これは10月2日に、同社のパソコンにて不審な挙動を検知し、三菱重工と連携して調査を行ったところ、翌10月3日にかけて複数のサーバとパソコンから外部に不正通信があることが判明したというもの。
同社で通信ログ等の解析を行ったところ、9月7日に攻撃者はMSPを経由し同社のサーバ1台に不正アクセスしマルウェアを感染させ、9月11日まで同社内のネットワークを偵察、9月11日に攻撃者が感染拡大活動を開始、9月12日に攻撃者による不正アクセスの痕跡が途絶え9月20日まで攻撃活動が停止、9月21日に攻撃を再開し、更なる感染活動を開始、9月22日には攻撃起点を同社サーバから同社グループ会社のサーバに移動した。
同社では10月2日から3日にかけて、影響端末を特定し社内ネットワークから遮断、更に外部不正通信先を特定し同社グループからの通信を遮断、10月7日には攻撃者の侵入経路をMSPと特定し、関連機器・通信を遮断し封じ込め作業を完了した。
同社によると、影響範囲は同社および同社のグループ会社に限定され、流出した主な情報は、サーバ設定情報やアカウント情報、認証処理プロセスのメモリダンプ等のIT関連情報であることを確認済みで、機微な情報や機密性の高い技術情報、取引先に係る重要な情報、個人情報の流出は無い。
同社ではサーバの初期感染の原因は、MSPが提供するソフトウェアの脆弱性で、当該脆弱性は未公開かつ修正プログラム適用等の対処策が未確立であったため、同社が三菱重工と連携し当該ソフトウェアの使用を停止させた。また、社内にて短期間に感染が拡大したのは、MSPが所管するUNIXサーバと同社ネットワークとの間にファイアウォールが存在せず、通信を最小限に制限できていなかったことが原因で、現在は三菱重工と連携の上でMSPをはじめとするパートナー企業との接続箇所を対象に、適切なファイアウォールの設置を点検済み。さらに、早期に攻撃を検知するためサーバの監視機能を強化している。
同社では今後、三菱重工と連携し社内の監視体制等を一層強化することにより再発防止に努めるとのこと。

引用元 ScanNetSecurity

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-1(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
メールを介したウイルス感染防止として操作者教育と管理を徹底していますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

1. 決済サービスへの不正アクセス 全加盟店のデータ流出へ

このところ不正アクセスによる被害が増加している。不正アクセスによる被害は色々あるが、侵入されてしまったあとでは、漏えいした情報を回収できず漏えい対象者の心理的不安と、のちに何らかの実害が生じることがあり、経過を注意深く見ていく必要がある。

今回流出対象となったのは加盟店側のデータだ。
加盟店データベースの設定に不備があり、加盟店代表者の名前や住所、口座情報などが流出した。

設定の不備とのことで、防ぐことの出来た事故といえる。
今一度、自社でも設定の見直しをすべきである。

具体例:

不正アクセスによる被害を防止するためには、入り口対策、サーバ内部対策、ファイル等を抜き取れないようにする出口防御対策の3面で行う必要がある。最近の不正アクセスは、ゆっくりと間をあけ、時々アクセスする形を取り、またIPアドレスもいくつも使い分け、一度失敗した手口は同じサイトには使わない、など、手間暇をかけて攻撃をしてくる標的型アクセスが増えてきた。狙いを定め侵入するまで手法を変えてくるため、防ぐのは中々厄介である点に注意がいる。ファイルの抜き取りも小口に分けて時々送信する形をとる。これにより入口、出口ともシステム感知がしにくい状態になる。サーバ内部対策はファイルへのアクセス制限とファイル自体の暗号化をしておくことである。不正アクセスにより犯罪者の手でファイルを暗号化されてしまうことがあるが、自らの手で暗号化しておけば万一抜き取られたときに、犯罪者に読み解かれるリスクは軽減される。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。