三菱パワーが被害に遭ったMSP経由の不正アクセスについてまとめてみた - piyolog

piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

三菱パワーが被害に遭ったMSP経由の不正アクセスについてまとめてみた

マルウェア感染 不正アクセス

2020年12月11日、三菱パワーは同社が利用するマネージドサービスプロバイダー経由の不正アクセスが発生したと公表しました。ここでは関連する情報をまとめます。

社内PCの不審挙動が発端

power.mhi.com
三菱パワーが発表した不正アクセスは次の通り。

  • 三菱パワー社内PCでの不審な挙動検知が発端。その後の調査で複数の社内のPC、サーバーから外部への不正通信が発生していることが判明。
  • 不正アクセスによる影響範囲は三菱パワー社内、および社内グループが対象。三菱重工グループネットワークへの不正アクセスは確認されていない。
  • 同社が利用するMSP経由による不正アクセスであったことが判明し当該サービスの通信を遮断済。
IT関連情報が流出
  • 流出が確認された主な情報はIT関連に該当する情報で次の通り。機微情報、機密性の高い技術情報、取引先に関係する重要情報、個人情報の流出は確認されていない。
    • サーバー設定情報
    • アカウント情報
    • 認証処理プロセスのメモリダンプ
三菱重工と連携し対応

三菱パワーが今回の件を受けてとった対応は以下の通り。

  • 初動対応
    • 三菱重工と連携し調査対応
    • 該当機器のネットワーク遮断、通信ログの解析
  • 原因判明後の対策
    • MSPとの通信経路を遮断、サービスの利用停止
    • 脆弱性が確認されたMSP提供ソフトウェアの使用停止
    • ファイアウォールが適切な設置がされていることの点検
    • 早期検知のためのサーバー監視機能の強化
MSP経由の不正アクセス
f:id:piyokango:20201212074158p:plain
三菱パワーが受けた不正アクセスの流れ

不正アクセスはMSPを経由して行われていた。

  • サーバーが初期感染した原因はMSPが提供するソフトウェアの脆弱性。(確認されたマルウェアの詳細や脆弱性が悪用されたソフトウェア名は公表されていない。)
  • 悪用された脆弱性は当時未公開かつ修正プログラム等の対策がないいわゆる0dayだった。
  • 三菱パワー社内に感染が拡大した原因はMSPが管理するサーバーと社内ネットワークにファイアウォール等の通信制限が最小限に行われていなかったため。

10月8日に不正アクセスが確認されたIT監視サービス

  • 三菱パワーはMSP事業者名を公表していないが、同社がMSPに対し調査要請を行った10月8日は日立システムズのIT監視サービスで不正アクセスが確認されたとして報じられた日付と同日だった。*1 その後続報として、複数の関係者をソースとして、三菱パワーへの不正アクセスは日立システムズ経由の攻撃だったことが報じられれた。*2

ITシステムの運用監視サービスへの不正アクセスについて(日立システムズ)

  • 日立システムズは12月4日にITシステム運用監視サービスの不正アクセス被害を発表している。報道によれば不正アクセス被害に遭ったサービスは日立システムズの「ITマネジメントサービス」とされる。*3
  • 同サービスの説明によれば日立監視装置「T-BOX」を顧客ネットワークに設置し、IP-VPNを通じ稼働状況を監視し、障害時は顧客への連絡やリモート対応を行うもの。
  • 日立システムズ広報は被害把握から公表まで2か月遅れとなった理由について原因、被害状況の確認、顧客企業への連絡、セキュリティ対策の実施等に時間を要したためとし、発表時点で不正アクセス原因については対処が済んでいるとした。また、顧客企業への被害については契約の関係上実際に被害が及んだか迄は回答できないと取材へ答えたことが報じられている。*4
  • 同社監視サービスの不正アクセスにより複数の顧客企業で不正アクセスが発生していることが関係省庁へ報告されている模様。*5

関連タイムライン

三菱パワーと日立システムズのタイムラインを整理すると以下の通り。

日時 三菱パワーの出来事 日立システムズの出来事
2020年9月7日 MSPを経由し社内サーバー1台感染。 *6
2020年9月11日 ネットワーク偵察活動を通じ感染拡大開始。  
2020年9月12日 攻撃活動が一時停止。  
2020年9月21日 攻撃活動が再開。  
2020年9月22日 攻撃起点を社内サーバーからグループ企業のサーバーに移動  
2020年10月2日 三菱パワーが社内PCの不審な挙動検知。端末や不正通信先を特定し遮断対応。  
2020年10月7日 攻撃者の侵入経路をMSPと特定し関連機器、通信遮断。  
2020年10月8日 MSPに不正侵入が疑われると調査要請。 IT監視サービスの不正アクセスを確認。
2020年10月12日 MSPより同社経由の不正侵入発生の報告受領。  
2020年12月4日   日立システムズがIT監視サービスの不正アクセス被害を公表。
2020年12月11日 三菱パワーが不正アクセス被害を公表。  

更新履歴

  • 2020年12月12日 AM 新規作成
  • 2020年12月13日 AM 続報反映(MSP事業者が日立システムズとの報道を受け)

*1:運用監視サービスに不正アクセス、顧客情報流出は確認されず - 日立システムズ,Security NEXT,2020年12月7日

*2:三菱パワーの不正アクセス、日立システムズ経由で侵入,日本経済新聞,2020年12月12日

*3:日立システムズの「ITマネジメントサービス」が不正アクセス被害に、利用企業にも影響か],日経クロステック,2020年12月7日

*4:三菱パワーが不正アクセス被害を公表、日立システムズの運用監視サービス経由か,日経クロステック,2020年12月11日

*5:日立システムズに不正アクセス 顧客企業に被害のおそれも,NHK,2020年12月5日

*6:匿名掲示板には「実は9月」といったこの件を指したこととみられる書き込みが12月10日に行われていた。