三菱重工に対するサイバー攻撃に思うこと
当ブログの2011年6月 5日 (日)執筆の記事「Lockheed Martin社に対するハッキング事件と米国の反応に思うこと」で私は「日本の防衛省や防衛産業に対する重大なサイバー攻撃があったとの報道はあまり目にしません。中国からと思わしきウイルスメールが防衛省関係者に送信されてくるとの新聞報道は過去に読んだことがあります。しかし機密情報が漏えいした、重大な施設のネットワークに侵入されたとの報道はありません。全くないのか、あることはあるのですが官公庁が公表していないのか、それとも気が付いていないのかは分かりません」と述べたことがありました。そして皆様も各報道などでご存じのことと思いますが、日本でも深刻なサイバー攻撃の実態が明らかになりました。
2011年09月19日03時15分の読売新聞の報道「三菱重工にサイバー攻撃、80台感染…防衛関連も」によりますと、日本の防衛産業の最大手とも言える三菱重工業がサイバー攻撃を受け、少なくとも約80台のサーバーやパソコンがコンピューターウイルスに感染していたていたことが判明しました。そのことは三菱重工の公式ホームページの2011年09月19日付けの「お知らせ」でも確認が出来ます。三菱重工以外にもIHIや三菱電機、そして川崎重工にもウイルスメールとみられるメールが送付された形跡があることも判明しています(「IHIにもサイバー攻撃 三菱電機、川崎重工も形跡」2011年09月20日 19:58 共同通信)。三菱電機、IHI、そして川崎重工からは情報漏洩はなかった模様です(サイバー攻撃、三菱電機にも…機密情報流出なし 2011年9月21日19時22分 読売新聞)。 しかし三菱重工に関しましては外部に情報が流出していた痕跡も確認出来たとのことです。更に別の読売新聞の記事「三菱重工サーバー、勝手に海外通信…スパイか?」(2011年9月20日03時03分) で感染したサーバーや端末の一部が海外のウェブサイトに勝手に接続して通信を行っていたことも報じられました。海外への接続先サイトの少なくとも4サイトについては中国、香港、米国、インドにサーバーの場所が登録されていたとのことです(サーバーの場所は犯人を特定する上で余り参考にはなりません。恐らくあくまで「中継点」であるからです)。このウイルスを情報セキュリティー会社が分析をしましたところ、「感染したコンピューターを攻撃者が遠隔操作する画面で中国語が使われていた」、「中国の大陸で使われる簡体字が使用されていた」と読売新聞の別の記事「三菱重工サイバー攻撃、ウイルスに中国語簡体字」(2011年9月20日14時36分 読売新聞) は報じています。
これらの一連の報道に対しまして中国政府側は、「中国政府は一貫してハッカー攻撃に反対している。中国も国外からのハッカー攻撃を受けている主要な被害国であり、中国がハッカー攻撃を仕掛ける拠点との見解は根拠がない」と中国外務省の洪磊・副報道局長が9月20日の定例記者会見で述べるなど関与を否定しています(「中国、三菱重工サイバー攻撃への関与を否定」 2011年9月20日19時00分 読売新聞) 。確かに中国もサイバー攻撃を受けているのかもしれませんが、「中国政府は一貫してハッカー攻撃に反対している」、「中国がハッカー攻撃を仕掛ける拠点との見解は根拠がない」との中国側の主張は中国側のミスにより虚偽であることが判明しています。詳細は当ブログの2011年8月25日 (木)執筆の記事「中国軍がサイバー攻撃を実行中の映像を中国が誤ってテレビ番組で放送か」を参照願います。今回のサイバー攻撃に中国政府が関与しているかどうかは現段階では不明です。しかし遠隔操作画面で中国語が表示されたことは、中国語を母国語としているか/中国語に堪能な人物がウイルス開発に何らかの形で関与をしている可能性が極めて高いと言わざるを得ません。警視庁やコンピューターセキュリティー会社による解析が今後更に進めば新たに判明する事実もあるでしょう。ただ捜査/解析の結果、判明した事実を公表するべきかどうか、公表するとしてどの程度まで公表するか、またどのタイミングで公開するかは駆け引きの観点からも 考慮する必要があります。(上の画像は中国のTVで放映された、中国のサイバー攻撃ソフトと思われる映像。誤って中国軍がTVで報道してしまったものと思われる。「法輪功」や「攻撃」等に見える単語が識別出来る 画像はそのTV映像のYoutubeより クリックで拡大)
犯人探しは兎も角としまして、それよりも重要な課題があります。それは犯行手口の解明、流出した情報の特定、そして再発防止策です。一体いつから三菱重工からの情報漏洩が発生し、どの様な内容の情報が流出したかです。三菱重工の公式ホームページの2011年9月19日付け「お知らせ」では「8月中旬にウイルス感染の可能性が判明し」、「コンピューターのシステム情報(ネットワークアドレス等)が流出した可能性があることは判明しているものの、当社の製品や技術に関する情報の社外へのデータ流出は現在確認されておりません」としています。しかし「8月中旬」というのはあくまでも問題が判明した時期であって、いつから感染していたのかではありません。
一連の読売新聞の報道では「外部からサーバーなどに侵入され、情報を抜き取られていた」(2011年9月19日03時15分 読売新聞)、「感染後、海外のウェブサイトに勝手に接続し、通信が行われていた」(2011年9月20日03時03分 読売新聞)と報じられています。読売新聞の報道には「情報」とは具体的に何を指すのかが言及がありませんし、当然のことですがソースも殆ど明示していません。
一連の日本の防衛産業に対するサイバー攻撃が開始されたのは恐らく遅くとも2009年頃ではないかと私は推測します。それは前述の共同通信の記事に、IHIがウイルスメールが大量に送付されてくる問題を認識し始めたのが2009年7月頃である旨が明記されているからです。そしてこの2009年という年ですが、何者かが米国の軍需産業にハッキングしF-35戦闘機のデータを盗んだことが報じられた年でもありました。詳細に関しましては当ブログの2011年6月 5日 (日)執筆の記事「Lockheed Martin社に対するハッキング事件と米国の反応に思うこと」を参照願います。その時の記事で参考資料として採り上げました2009年04月21日のWSJ紙の"Computer Spies Breach Fighter-Jet Project"(コンピュータスパイが戦闘機プロジェクトに侵入)によりますと、米国軍需産業のハッキング被害は2007年度から発生していた可能性を指摘しています。時期的なことや、米国の軍需産業と日本の防衛産業と同じ業界をターゲットとしていることから、同一犯の可能性もあるのではないかと個人的には考えています。
もし同一犯であるとするならば、具体的にどの様な情報が漏洩したかを特定するのは難航するかもしれません。2009年04月21日のWSJ紙の"Computer Spies Breach Fighter-Jet
Project"(コンピュータスパイが戦闘機プロジェクトに侵入)にはこうあります。
-------------------------------------------------------------------
The spies
inserted technology that encrypts the data as it's being stolen; as a result,
investigators can't tell exactly what data has been taken.
スパイは盗んでいるデータを暗号化する技術をはめ込んだ。その為に調査団は具体的にどのデータが盗まれたかを示せない。
-------------------------------------------------------------------
もし同じ手口であったとするならば如何なる情報が盗まれたかを特定するのは困難を極めると思われます。そしてこの手口であったのにも関わらず、三菱重工が製品情報や技術情報の漏洩は現段階ではなかったとしているとしますと、それは極めてナイーブであるか、ただのダメージコントロールであるとしか言えません。
発生してしまった不祥事、犯してしまった過ち、漏洩した情報を無かったことにすることは出来ません。しかし手口を分析し再発防止策を講じる事は出来ます。しかし三菱重工は防衛省への報告を読売新聞の報道があるまで行っていませんでした(「三菱重工、報道があるまで防衛省に報告せず」
2011年9月20日14時57分 読売新聞) 。悪い連絡、不始末の報告は納入先、特に官公庁に行うのは確かに心理的にハードルが高いものであったのかもしれません。世間からの批判や官公庁からの有形無形の制裁への懸念があったのかもしれません。しかし不祥事の対応が迅速であれば信頼回復にも結び付く事もあります。
しかも今回の場合は責任がハッカー側にあります。確かに犯罪の被害者には隙や過失があったのかもしれません。しかし犯罪被害者はあくまでも犯罪被害者であって、加害者ではありません。犯罪の責任は犯罪者側にあるのです。もし読売新聞が今回の問題を報道していなかった場合は三菱重工はどの様な対応をしていたのでしょうか。(上の写真はある時期に筆者にて撮影の、東京都台東区にある三菱財閥の創始者である岩崎弥太郎の邸宅 「国家とともに歩む」が岩崎弥太郎氏の経営理念でもあった クリックで写真拡大)
今回の事件は日本のサイバーセキュリティーに関する議論に一石を投じることとなるでしょう。その意味では今回のサイバー攻撃は露呈してむしろ幸いであったと言えるのではないでしょうか。
« 防衛省、無人機とロボット購入へ 震災教訓、有事投入も | トップページ | 次期戦闘機(空自FX)候補三機種の提案書が出揃う »
「軍事」カテゴリの記事
- THALES BUSHMASTERを防衛省が導入へ(2014.04.21)
- 日本国武器輸出三原則の変遷(2014.04.14)
- 米軍サイバー防衛要員が3倍に(2014.03.31)
- 2015年度米国防予算案が日本の防衛政策に与える影響(2014.03.22)
「事件」カテゴリの記事
- 米軍サイバー防衛要員が3倍に(2014.03.31)
- 接続水域に於ける潜水したままの潜水艦の法的位置づけに関して(2013.05.30)
- 橋下大阪市長が普天間基地司令官に風俗活用を推奨したことの問題点(2013.05.17)
- 米国Mandiant社が中国の61398部隊をサイバー攻撃の中核と暴露(2013.02.26)
- Twitterへのサイバー攻撃で25万人分の個人情報流出か(2013.02.03)
コメント
この記事へのコメントは終了しました。
トラックバック
この記事へのトラックバック一覧です: 三菱重工に対するサイバー攻撃に思うこと:
» 衆議院にサイバー攻撃 [アシナガバチの巣作り日記]
(上の写真はある時に筆者撮影の国会議事堂、クリックで拡大)皆様も各報道でご存知の [続きを読む]
« 防衛省、無人機とロボット購入へ 震災教訓、有事投入も | トップページ | 次期戦闘機(空自FX)候補三機種の提案書が出揃う »
すいません私はおそらく世間様レベルで言えば「ITスキル」は低い人間ですので恥ずかしいレベルの勘違いや思い違い、そして認識が低いこと甚だしいこと多数ですのでお手柔らかにお相手して欲しいのですが・・・
防衛省にしろ企業さんにしろ・・そんな重要秘密を外の回線と繋がったサーバーに入れてるモノなのでしょうか?
回線が繋がってなければ、どんなスーパーハッカーでも情報は盗れないと思うのですが・・・
そして防衛省なんかは外に繋がってない独自回線を持っている訳で、それを利用してネットワークを形成し、なおかつ秘匿ソフトを用いていたら、中々漏れたとしても読めない分けでして・・・
どうなんでしょうか?
投稿: エンリステッド | 2011年9月23日 (金) 22時28分
エンリステッド氏
こんにちは。私も「ITスキルは低い」方でプロではありません。そこで私が知っている報道を類推して論じることとします。
>重要情報を外部回線からアクセス可能な端末に入れているか
私の勉強不足によりMHIがどの様な体制となっているかは存じておりません。しかし以前の記事「「Lockheed Martin社に対するハッキング事件と米国の反応に思うこと」でも書きましたが、2009年度のハッキングでは「最も機密度の高い情報はネットに接続されていないコンピュータに保存されており、機密情報流出はありませんでした」との事です。
http://paper-wasp.cocolog-nifty.com/blog/2011/06/lock-37ab.html
しかしそれにも関わらず、前述の記事の通りに2011年にもLockheed Martin社に対して再度サイバー攻撃が行われています。
2009年度と2011年度のサイバー攻撃が同一犯であるかどうかは判りません。しかし米国政府は同一犯の可能性が高いと見ている模様です(名指しはしていませんが、「極東の国家、さらに言えばつい数年前にオリンピックを開催した国」と米国政府関係者は述べています)。もしそうだとしますと犯行グループは外部からアクセス可能な端末に彼等にとって重要な情報が蓄積されていると考えているものと思われます。
また2009年04月のウォール ストリート ジャーナルは"Similar incidents have also breached the Air Force's air-traffic-control system in recent months"(同様の出来事が空軍の航空管制システムにここ数ヶ月に侵入した)としています。USAFの航空管制システムが外線と繋がっているかどうかは私の知識不足により判りませんが、簡単に外部からの侵入を許すような設計ではないことは確かです。
今回のMHIに対するサイバー攻撃も同様の事が言えます。少なくとも犯行グループはそれなりに貴重な情報(ないしは日本国と敵対関係にある国家に持ち込めば金になる)が外部からアクセス可能な端末に蓄積されていると思っているのではないでしょうか。
またこれはあくまでもネット上の噂ですので真偽の程は定かではありませんが、銀行等の外部にアクセスしていないネットワークにも犯罪組織による違法アクセスがある模様です(北大路機関 http://harunakurama.blog.ocn.ne.jp/kitaooji/2011/09/post_5ef0.htmlのコメント)
また当ブログの他の記事でも執筆しました、イラン核施設をサボタージュしたStuxnetも、恐らく外部からのネットワークに接続されていないシステムを汚染したものと私は考えています(尤もStuxnetはサボタージュが目的であり、情報の収集が目的ではない。こういったサボタージュは公共インフラに重大な損害を与える可能性がある。感染源はUSBメモリー?)。
http://paper-wasp.cocolog-nifty.com/blog/2011/07/post-2618.html
但しこれはStuxnetの開発側がMicrosoft社WindowsとSiemens社のハードウェア/ソフトウェアに関し詳細なデータを有していた為に可能だった訳ですが。
投稿: アシナガバチ | 2011年9月25日 (日) 08時46分
私も三菱のサーバーシステムについて詳しくないのでコメントするか迷っていたのですが…
通常病院などのLANネットワークでは、外部に接続するものとスタンドアローン(やや語弊がありますが)なネットワークの2種類を備えているものがほとんどです。
例えば、患者の個人情報、併用している薬(飲み合わせの禁忌を避けるため)、掛かっている科、病状、検査結果などは独自のサーバーで外部と接続されておらず、DVDやUSBといった外部ストレージも利用不可能になっています。
それとは別に、例えば予約受付や休診情報などインターネットを通して閲覧できるものは、専用のサーバーが別に準備してあり、外部ネットワークと接続しています。
あくまでも推測の域を出ませんが、ウイルスがメールを介したトロイということもあり、感染していたPCは、こうした外部ネットワークと接続したものだと思われます。
設計図なんかは高く売れそうなのでw
そういったものは、おそらく外部ストレージへ記録不可能なスタンドアローンのPCで運用されていると思います。
情報の流出元はつまりメールです。
(例えば、流出した情報は潜水艦etということなので海水温度による流体の変化の計算結果だの、温度や海水圧力による金属強度だの、【内容は適当なので信じないで下さいw】)そういう“報告”の必要性のある類の情報が主かと考えております。
投稿: sub. | 2011年9月26日 (月) 01時11分
やや表記に語弊があるので訂正。
たいした事ではないですがw
下から6行目
おそらく外部ストレージへ記録不可能なスタンドアローンのPCで⇒おそらく外部ストレージへ記録不可能なスタンドアローンネットワークのPCで
投稿: sub. | 2011年9月26日 (月) 01時14分
はじめまして。初コメントさせていただきます。
今回の事を初めて聞いたときはショックを受けましたが、起こってしまった以上、今後の教訓にして頂きたいですね。
今のところ機密情報の流出は無いとしていますが、もし今後の調査で技術情報等が流出しているとなると、情報セキュリティが甘いと言わざるを得なくなります。
私は数年前、某電電公社で通信系ソフトウェアの開発に携わっていましたが、開発情報の持ち出しは海外への通信技術、兵器技術流出防止に抵触するとされ、違反者は刑事告訴も含めた厳罰を課す旨が通達されていました。
そこでは開発部内のみで使用するサーバを立て、ネットワークも開発チーム内部のみに限定され、外部ネットワークはもちろん、開発責任者以外は社内の別チームにすら繋げられませんでした。メールもチーム内の連絡にのみ使用されていました。
兵器等は非常に機密性の高い情報なので同様のセキュリティ管理は行われているものと信じたいです。
投稿: サル沢 | 2011年9月26日 (月) 02時24分
はじめまして、初めてコメントさせていただきます。
まず、セキュリティですが一般的に
A.PC(サーバーを含む)のセキュリティ
B.ネットワークのセキュリティ
に分けられます。
サル沢 さんが言われるようにネットワークを物理的に隔離する手法も考えられますが複数のサイトで業務が行われている場合はどうしても論理的にネットワークにセキュリティをかけるケースが多いように見受けられます。
複数のサイトに特定の業務のためだけに専用線を引くことはコスト的に難しいですから
また、通信会社のサービスも網を論理的に分割し帯域利用させるようなサービスが主流となっています。
これらを踏まえた上で
記事の内容から推察するに
1.サーバーと同じネットワーク上のPCでウィルス感染
→通常サーバー上でメールのやりとりを行う事はありません、またUSB経由など外部デバイスからファイル感染も複数サーバで感染していることから可能性は低いと思われます。
→感染後ワーム活動をするタイプと推測されます
2.サーバー上に感染
3.通信量の増大から感染発覚
→ワームの場合通信量が増大することが多いです
といったところではないかと思われます。
サーバーの操作や情報の流出に関しては
サーバーの脆弱性を突くとともに
ネットワークのセキュリティを突破しなければならず難易度は大きく上がります。
基本的に外部ネットワークと内部ネットワークは分割されていますから、
よほどおかしな設定を行わない限り外部から接続して内部のサーバーを直接操作するなんて難しいですよ
ネットワーク機器への外部操作が許可されており、管理者権限が流出していたら話は別ですが
DMZ上のサーバーを踏み台にしてなんて言うことも不可能ではありませんが、
DMZ上から基幹サーバーに対しては必要最低限の通信以外拒否するのが基本となりますからこれもまず無いでしょう
これは、アシナガバチさんが指摘された
「銀行等の外部にアクセスしていないネットワークにも犯罪組織による違法アクセスがある模様です」
に通じるところがあります。
簡単に申しますとインターネットバンキングサービスを行っておれば、サービス用のサーバーを介して預貯金データーを管理するDBへアクセスできる可能性があるということです。
実際には、いくつものセキュリティが欠けられていますからまず不可能ですけどね
投稿: RoKo | 2011年9月26日 (月) 12時14分
訂正です(^^;
×>実際には、いくつものセキュリティが欠けられていますからまず不可能ですけどね
○>実際には、いくつものセキュリティがかけられていますからまず不可能ですけどね
投稿: RoKo | 2011年9月26日 (月) 12時18分
サル沢さんのコメントは大変参考になります。
メールもチーム内のみというのは驚きですw
普通に話せばいいような気もしますし…よくよく考えてみれば、USBのような外部ストレージが使えないとなると、データの受け渡しはメール以外にはありませんものね。
機密情報の流出は確認されていないとは書かれていますが、機密情報の流出は無いとは書かれていない点には注意が必要です。
RoKoさんがおっしゃる通り、私も、物理的にスタンドアローンなネットワークというよりも論理的なスタンドアローンネットワークという前提で話をしていました。
ただし、感染していたウイルスはトロイということがわかっており、注意すべきなのはサーバーマシンにも感染していたという点です。
http://headlines.yahoo.co.jp/hl?a=20110920-00000665-yom-soci
一方、9/9のお知らせにあるとおり、告発文書中に技術情報が添付してあったことから情報流出源の調査が入って感染が発覚したのだと推察されます。
http://www.mhi.co.jp/notice/notice_110909.html
DMZサーバーからデータが盗まれただけならば、外部とやり取りしたメールなんかが主な情報流出先でしょうが、RoKoさんのおっしゃるようにDMZ上のサーバーを踏台にして内部ネットワークへ攻撃を仕掛けたことでしょうから、ここが破られているか否かでことの重大さ大きく変わります。
と、書いていて恐ろしくなってきたのですが9/9の事件と9/19の事件に関連があると…w
それから、ネットバンキングへの攻撃の件ですが、随分と便利な?世の中になったようです。
大して専門的な知識を持たずとも、大手のサーバーにも攻撃が成功するようになってきたので、ウィキリークスやアノニマスといった連中がはびこるのでしょう。。。
http://itpro.nikkeibp.co.jp/article/COLUMN/20110904/368104/?ST=security&r4
投稿: sub. | 2011年9月26日 (月) 17時30分
皆様たくさんのコメント有難うございます。私は「ITスキルは低い」方で専門ではありません。皆様の大変貴重で興味深いコメント有難うございます。サル沢氏及びRoKo氏はじめまして。今後とも宜しくお願いします。サル沢氏の体験談やRoko氏の分析は大変興味深かったです。
どの程度の情報が流出したかの検証と、再発防止策の徹底が急務となるでしょう。
民間有識者含めサイバーテロ対策検討 官房長官発表(2011年9月27日11時4分 朝日新聞)
http://hiyo.jp/cache/of/2011-09-27-13-00-58/http://www.asahi.com/digital/internet/TKY201109270146.html
投稿: アシナガバチ | 2011年9月27日 (火) 12時59分
自衛隊と軍需産業は自衛隊のサイバーテロ対策部隊でやればいい。
相手は、サイバーテロ部隊専用の専門学校までお持ちです。
内閣府がおっとりやっていますが、衆議院までウイルス仕込まれる世界。
1000名ほど、若いサイバーテロ対策部隊を雇えばいい。コンピューターオタクでも
いいし、パソコンがあれば出来る任務です。
やられるだけでなく、仕掛けるぐらいでないと、北の王朝もやっていることです。
スパイ防止法のない国では、やりたい放題ですね。
投稿: 久我山のチ那ッピー | 2011年10月25日 (火) 15時48分
久我山のチ那ッピー氏
Microsoft社やTrend Micro社との協力も必要となると思います。また「スパイ防止法のない国では、やりたい放題ですね」というのはサイバー攻撃とは直接関係がないと思われます(スパイ防止法が制定されても、サイバー攻撃を食い止めることは出来ない)
投稿: アシナガバチ | 2011年10月26日 (水) 12時54分