サイバー攻撃の経緯や調査方法などを明らかに - 三菱電機
三菱電機は、外部より不正アクセスを受け、情報流出の可能性が判明した問題で、攻撃を受けた経緯や対応状況の詳細について明らかにした。132台に感染の疑いが判明したが、これら端末からアクセス可能な範囲に社会インフラの重要情報などは含まれていないとあらためて強調している。
攻撃が行われた流れ(図:三菱電機)
同社によると、最初に標的となったのは中国拠点で運用していたマルウェア対策用の管理サーバ。2019年3月18日に外部から当時未知の脆弱性を用いたゼロデイ攻撃が行われ、パターンファイルのアップデート機能を悪用。同拠点の端末に感染が広がった。
攻撃には、ブラウザと同じ名前の「PowerShell」ファイルを用いており、同ファイルよりファイルレスマルウェアを実行。リモートより端末の遠隔操作が行われ、中国国内の他拠点にも感染が拡大したという。
さらに4月3日、国内にあるマルウェア対策管理サーバが、中国の拠点経由で同様の手法により攻撃を受け、マルウェア対策製品のクライアントが導入されているサーバや端末などが侵害され、外部との通信を行っていた。
当初の攻撃は、送信元が詐称されていたことから攻撃者の特定が難しく、その後の攻撃には大手のクラウドサービスが用いられたとしている。
(Security NEXT - 2020/02/13 )
ツイート
関連リンク
PR
関連記事
日東製網、四半期決算を延期 - ランサムウェア被害の影響で
米子会社にサイバー攻撃、情報流出の可能性 - パイロット
サーバや端末にサイバー攻撃、放送への影響は否定 - テレビ新潟
サイバー攻撃を確認、詳細を調査 - ゴルフダイジェスト・オンライン
JVCケンウッドのタイ子会社にサイバー攻撃
工学部ウェブサーバから個人情報流出の可能性 - 北大
ランサム被害による子会社情報の流出を確認 - 綜研化学
画像管理サーバがランサム被害、救急や一般外来受入に影響 - 国分生協病院
発覚2カ月前にもマルウェア実行の痕跡、情報流出は否定 - こころネット
クラウド利用増加で標的型攻撃が進化 - 「初期アクセス」獲得阻止が重要に