無縫地帯

三菱電機へのサイバー攻撃にみる、正確な報道の困難さ

中国系のハッカーグループにより、昨年6月以降から三菱電機に対しサイバー攻撃があり、被害状況が明らかになりつつありますが、報じる側も事件の難易度の高さで悩みがあるように感じられます。

朝日新聞がスクープの体裁で三菱電機のサイバー攻撃を報じました。我が国の安全保障を揺るがしかねない重大事件ですが、各社報道に目を通して気になったのは「被害実態や手口、実施した団体」に関する報道は皆さんどう正確に報じるか苦労している節があります。

【独自】三菱電機にサイバー攻撃防衛などの情報流出か(朝日新聞 20/1/20)

同社の取引先には防衛省をはじめとした官公庁や政府機関、電力、通信、JR・私鉄、自動車関連などが多く含まれています。また、今回ハッキングを行った中国の団体については、侵入した痕跡を丁寧に消す行動をとることでそれなりに有名であることなどから、本当の被害状況がどうであったのか良く分からないという問題があります。それもあり、政府機関や防衛産業など枢要な業務を受けることの多い三菱電機での本件サイバー攻撃の結果、我が国の安全保障体制に影響を及ぼす可能性も危惧され、朝日の報道ではその部分がやや強く表現されたニュアンスもありました。
 

防衛技術の性能や、重要な社会インフラに関する情報が流出した恐れもある。朝日新聞

しかし、その後の他報道機関の記事などによれば、どうやらそうした重大機密情報の流出は免れたとされています。

三菱電機、サイバー攻撃で情報流出の可能性を確認(ロイター 20/1/20)
 

防衛・電力・鉄道などの社会インフラに関する機微な情報、機密性の高い技術情報や取引先に関わる重要な情報は流出していないことを確認済みという。現在までのところ、被害や影響は確認されていない。ロイター

これも、三菱電機の社内調査や、もしも被害報告をしていたのであればおそらく事態に対処したであろう警察庁・警視庁やNISCなどの関係機関がどれだけ正確に被害状況の確認を行えたのかは外部からは良く分かりません。

その一方で、残念ながら大量の個人情報が流出した可能性は高いともされています。

三菱電機、8千人超の情報流出か(共同通信 20/1/20)
 

従業員や退職者、採用応募者の最大計8122人分の個人情報と、取引先の政府機関や民間企業に関する資料ややりとりなどの機密が流出した恐れがあると発表した。共同通信

今回の件で気になるのは、三菱電機社内で事態が発覚したのが2019年6月28日で、それから朝日が独自報道するまで約半年もの長い期間に渡って情報が公表されなかった点です。朝日新聞の当初の取材に対して三菱電機の広報は「サイバー攻撃を受けることはあるが、個別の内容については、あったかどうかを含めてお答えできない」と回答していたようですから、今回の朝日の報道がなければさらに事態の公表は先送りされていた可能性もあるのかもしれません。さすがにこうした三菱電機の姿勢に対し、経産相の梶山弘志さんは遺憾の意ととれる言及をしております。

三菱電機、サイバー攻撃速やかに公表すべきだった=梶山経産相(ロイター 20/1/21)
 

梶山経産相は「どういう情報が流出したかは、確定しないと言えない部分もあるが、不正アクセスを受けたということ自体は早めに公表すべきだと思っている」と述べた。三菱電機から報告を受けた時点でも、早めに公表すべきとの考え方は伝えたという。ロイター

この記事から朝日新聞の報道以前に政府側へはなんらかの報告があったことが読み取れるわけですが、「早めに公表すべき」という梶山経産相からの要望に対して三菱電機側は応えなかったと解釈できます。三菱電機側の言い分は以下の記事のとおりです。

三菱電機、不正アクセスで個人情報や企業機密が流出--今後の詳細発表は予定せず(CNET Japan 20/1/20)
 

発表までに約6カ月を要した理由として、同社広報部は、不正アクセスを確認する中でログと通信記録が攻撃者によって消されていたこともあり、「調査範囲が非常に広くて時間がかかった。順次調査を進めているなかで明らかになることもあり、把握できたのは最近になって」としている。全貌が判明した時期についてはコメントできないという。CNET Japan

攻撃された可能性のある範囲について調査する先が広範囲であるならば、確かに結果が出るまで時間がかかるのは当然です。ただ、常識的には攻撃者による侵入の感知がそれなりに早くできていれば、被害を被ったデータがどこまでなのか速やかに把握できたはずです。この報道の内容が事実だとすると、サイバー攻撃によって中国系ハッカー集団が侵入し、データを外に持ち出して痕跡を消した後も、しばらく侵入され続けていた可能性を示唆するものになります。むしろ、この状況であるならば「三菱電機はサイバー攻撃を検知する能力や的確な対処を行ったりデータを逃避させる仕組みを持っていない」と宣言してしまっているも同然ということになります。

なお、サイバー攻撃の手口については三菱電機が採用していたウイルス対策システムに潜んでいた脆弱性を突くものであったことまでは公表されていますが、どこの製品であったかは明らかにされていません。

三菱電機、約8000人の個人情報流出かウイルス対策システムにゼロデイ攻撃(ITmedia 20/1/21)
 

不正アクセスの原因は、三菱電機で使用しているウイルス対策システムにあった修正前の脆弱性を突いたゼロデイ攻撃。監視システムをすり抜けるような高度な手法で、一部の端末では持ち出されたデータを特定するためのログデータも消去されていたため、調査に時間がかかったとしている。ITmedia

ちなみに企業向けウイルス対策システムでのゼロデイ攻撃事例ということでは、昨年トレンドマイクロ社の「ウイルスバスター コーポレートエディション」に関して度々注意喚起が出されていたことをセキュリティに詳しいpiyokangoさんが指摘されておりますが、はたして三菱電機で同製品が使われていたのかどうかは不明です。
 

また、サイバーセキュリティの世界では広く知られている通り、これらのウイルスバスターのような製品をいくら導入したとしても、今回のような三菱電機だけを専門に狙うような攻撃には対処できない恐れがあります。一連の報道を見る限り、本当にセキュリティシステムのゼロデイ攻撃が情報漏洩の原因であったのか疑わしい部分も出てくるのではないかと思います。

今回のサイバー攻撃の犯人については中国系犯罪者集団が関与した可能性があるとされていますが、いずれにしても今後このような用意周到な攻撃はさらに増えることを想定してセキュリティ対策を進める必要があるでしょう。「今回は重篤な漏洩はなかった」と発表されたとしても、三菱電機の中だけの話はそうかもしれないというだけで、例えば三菱電機が防衛省から業務を受託したり製品を納品するにあたり、やり取りをしている防衛省の調達担当の個人名までメールや受発注データなどから確実に漏れているはずです。そうだとするならば、今回は三菱電機が一定の被害に収まったとしても(収まっていない可能性が高いようには思いますが)その先の官公庁や防衛産業に侵入する入り口までしっかりデータを取られてしまっていることになりますので、踏み台にされた三菱電機の内部よりも、その先の組織のデータを守る必要があると言えます。だからこそ、少なくともサイバー攻撃を受けたという情報は例え社内調査が終わっていなくとも的確に外に発表し、報道しておく必要があるわけです。しかも大手メーカーの企業向け対策システムを導入したからといって、その大手メーカーを単独で狙うようなハッキングに対しては無力であり、万全とはとても言えないこともしっかりと肝に銘じておかねばなりません。なかなか厄介な話ではあります。

日韓企業にサイバー攻撃中国ハッカー集団暗躍か(日本経済新聞 20/1/21)
 

 

日本ハッカー協会の杉浦隆幸代表理事は「情報の重要性に応じたレベル分けが重要」と指摘する。業務で取り扱う情報の機密性のレベルを定義し、機密性が高い情報は外部からアクセスできないようにする。利用する端末を変え、同じネットワークに接続しない。日本経済新聞

日本ハッカー協会代表理事の杉浦隆幸さんはストレートに書いてしまっておられますが、扱う情報の機密ごとにグレード分けして管理する手法は、今回、三菱電機がどの情報を漏洩した疑いがあるかそのものを報じておりますので、おそらくはそこまでは手がけていたのでしょう。

また、外部のセキュリティ会社を起用して不正なデータの流通を有人監視していたとしても、今回のように端末へ名指しで入り込まれていたのだとするならば、監視側が正常だと思っている通信の中にハッキングによる情報流出が含まれていた可能性が強く示唆されます。明らかに「社内調査に時間がかかった」というより「流出してしまった情報が何であるかすら把握できないぐらい、気づくのが遅れた」ことを意味するならば、この問題を報じる側も相当なリテラシーの高さでないと正確な報道はむつかしいのではないか、と思います。

「情報流出は完全には防げない」、三菱電機にサイバー攻撃の衝撃(日経クロステック 近岡裕 20/1/21)

そして、確度の高い優れた報道を見ようとすると、大抵においてこの日経クロステック記事のように有料記事になっているわけでして、事態の困難さにより報道の難易度が上がるほどに報道する側も読み解く側も高いリテラシーが要求され、高い報道コストに見合う収益性との兼ね合いが大事になってくる、ということを感じずにはいられません。