サイバー攻撃の経緯や調査方法などを明らかに - 三菱電機

三菱電機は、外部より不正アクセスを受け、情報流出の可能性が判明した問題で、攻撃を受けた経緯や対応状況の詳細について明らかにした。132台に感染の疑いが判明したが、これら端末からアクセス可能な範囲に社会インフラの重要情報などは含まれていないとあらためて強調している。

攻撃が行われた流れ（図：三菱電機）

同社によると、最初に標的となったのは中国拠点で運用していたマルウェア対策用の管理サーバ。2019年3月18日に外部から当時未知の脆弱性を用いたゼロデイ攻撃が行われ、パターンファイルのアップデート機能を悪用。同拠点の端末に感染が広がった。

攻撃には、ブラウザと同じ名前の「PowerShell」ファイルを用いており、同ファイルよりファイルレスマルウェアを実行。リモートより端末の遠隔操作が行われ、中国国内の他拠点にも感染が拡大したという。

さらに4月3日、国内にあるマルウェア対策管理サーバが、中国の拠点経由で同様の手法により攻撃を受け、マルウェア対策製品のクライアントが導入されているサーバや端末などが侵害され、外部との通信を行っていた。

当初の攻撃は、送信元が詐称されていたことから攻撃者の特定が難しく、その後の攻撃には大手のクラウドサービスが用いられたとしている。

（Security NEXT - 2020/02/13 ） ツイート

PR

関連記事

狙われる顧客管理ツール「SugarCRM」の脆弱性 - 米政府も注意喚起
通販サイトは要警戒、偽管理画面に誘導するフィッシング - 顧客も標的に
TOKYO FM通販サイトで顧客情報流出の可能性 - 顧客に偽メール
サイバー攻撃で一部メール消失、詳細を調査 - 日本臓器移植ネットワーク
欧米当局、ランサム「Hive」を解体 - 捜査官が攻撃インフラに侵入
委託先にサイバー攻撃、顧客などへ脅迫メール届く - 北関東マツダ
多数システムでランサム被害、復旧や事業継続に追われる - ならコープ
正規の「リモート管理ソフト」が攻撃者のバックドアに - 米政府が警戒呼びかけ
業務システムで顧客情報流出の可能性、サイトは再開 - アダストリア
ベトナム拠点経由で攻撃、複数子会社とともにランサム被害 - タカミヤ