今年１月の報道ニュース
１月２０日の朝、各報道メディアから三菱電機のサイバーインシデントが報道されもした。三菱電機側からの発表が後手に回ったことから事実かどうかわからない情報が流れていたことは、記憶にある人は多いと思います。
その後、２月、３月と分析されていろいろな推測情報が流れていますが、また５月に入り、俄かにニュースになっています。
実際の攻撃者が判明もしくは捕まったわけでもないので、あくまで推測分析であり、確かなことは残された一部のログでしかありません。

まず、最初に公開されたニュースは、三菱電機の中国の拠点からサイバー攻撃を受け、パソコン１２０台以上、サーバー４０台以上に不正アクセスされ、防衛省、環境省、内閣府、原子力規制委員会、資源エネルギー庁などの重要な情報が流出したという内容でした。
これは１月２０日の朝のニュースでした、そしてお昼ごろ、三菱電機はHP上で、不正アクセスはあったが流出はしていないというような発表がありました。

更には、そのサイバー攻撃集団は中国系の「Tick(ティック)」であるというニュースも、そして「APT37(北朝鮮)」「Turla(ロシア)」も関与しているのでは？　などと話は広がりました。

最近のニュース
我々、セキュリティエンジニアが興味を持つ箇所は、このニュースより、最近のニュースです。
まず、サイバー攻撃をした集団は、新たに「BlackTech(ブラックテック)」ではないかという情報も出てきています。
その手口は、三菱電機の中国拠点のVPN装置から侵入、そしてあるPCを拠点として、更に複数のPCを経由してサーバー４台に侵入しと分析されています。
この流れ的には、まぁ、よくある侵入手順だと思います。
三菱電機のセキュリティはかなり厳重だと思いますので、その侵入されたVPN装置をどのように掻い潜ったのか、我々セキュリティエンジニアは興味を持つところです。
もちろんゼロディの脆弱性を狙ったのでしょう。

そして、拠点にされたと思われるPCには、ログからの痕跡から不審なプログラムC:\ProgramData\chrome.exe」が見つかりました。
三菱電機は、使用しているウィルスソフトのメーカー、トレンドマイクロに対して調査依頼をしたところ、「異常なし」という結果だったため、三菱電機は社内の独自のCSIRTチームで調査を開始したそうです。

これってある意味、攻撃側のハッカーの勝利のような気もします。
トレンドマイクロの解析ミスなのか、攻撃側のハッカーが優秀なのか、この議論も面白いと思います。
そもそもアンチウィルスソフトのようなセキュリティソフトは過去に起きたセキュリティインシデントをパターン化してチェックするだけのもの、世の中に存在しないゼロディ攻撃には対応できないものです。
そういう意味では、「セキュリティ会社が見逃した・・・」というマスコミのニュースはどう受け止めればよいのでしょうか？
トレンドマイクロは見逃したのではなく、そもそもゼロディ攻撃は見つけませんということでいいのかもしれません。

サイバーセキュリティに関しては、本当に重要なものは、外部委託ではなく、内部に専門家を置くべきだと思います。
更には、内部のセキュリティのスキルレベルを上げる教育をすることが必要だと思います。
その教育部分こそが外部委託になるのではないでしょうか。

実際に試してみたところ
実際に使われたかどうかは別として「Powershell.exe」を「chrome.exe」に名前を変更したものを「C:\ProgramData」に置いた場合、どのように見えるのか検証してみました。
「Powershell.exe」が本来ある場所は、「C:\Windows\System32\WindowsPowerShell\v1.0」です。
そこからコピーして作ってみました。

ファイルのプロパティ画面から「全般」「詳細」を見てもウィルスソフトでは確かに異常になる要素は無さそうです。

ついでにこの「Chrome.exe」を起動して、WindowsのSysinternalsのプロセスエクスプローラーでも確認してみました。

「Verified Signer」もMicrosoftだし起動すれば、そもそも「Powershell.exe」が動いてるだけのことなので
怪しげに思うこともありません。これが「異常なし」ということなんでしょう。

この三菱電機のサイバーインシデントは、まだまだ分析調査する内容が沢山ありそうなのでその都度情報収集することが、セキュリティ上、勉強になるし教訓にもつながるインシデントだと思います。

我々ハッカー同志が集まれば、この話題で何時間も議論できそうな話題です。
とにかくオリンピックが１年先になりましたが、日本は狙われているという危機感を持ってサイバーセキュリティの強化は必要です。