三菱電機 サイバー攻撃(ゼロデイ攻撃)

1/20 三菱電機は同社のネットワークが第三者による不正アクセスを受け、個人情報と企業機密が外部に流出した可能性があることを公表しました。最も心配された、防衛や電力、鉄道などの社会インフラに関する機微な情報等は流出していないことを確認済みであることも、併せて報告されています。

朝日新聞のスクープ

だったと思うんですね。20日の朝の時点で朝日新聞デジタルで流れてたのを読んだのが最初だったと思います。昨年12月に新入社員の自殺というニュースがあったところでしたし、「またかよ」って感じで読みました。内部からのリークだったんでしょうかね。

そしてその後の報道、すべてに目を通しているわけではありませんが、概ね同社の対応を一定程度評価しているような伝え方になってるようです。不正アクセスを検知したのが昨年6月28日。その後行政等の関係各機関とは連絡を取りながら対処してきたようで、最もリスクの高い防衛・電力・鉄道等のインフラに関する情報の流出は回避したようです。

ゼロデイ攻撃

プレスリリースによると、「原因」の欄には、「当社が利用するウィルス対策システムのセキュリティパッチ公開前の脆弱性を突いた第三者の不正アクセスが原因です。」とあります。システムに脆弱性が発見され、修正プログラムが提供される日より前に、その脆弱性を攻撃される、いわゆるゼロデイ攻撃を受けたというわけです。

修正プログラム(セキュリティパッチ)が出来上がる前に攻撃されたわけですから、同社の責任を問うわけにもいきません。これについては世間もやむを得ないと感じたでしょう。むしろ、三菱電機以外の企業もすでに攻撃されているのではと思わされました。

そして、流出した情報も、三菱電機の採用応募者、従業員、関係会社の退職者に係る個人情報です。同社の技術資料や営業資料も流出しているようですが、報告を見る限り、情報の重要性に応じたアクセス管理ができていたことを感じさせます。三菱電機の今回のプレスリリース、非常に良くできています。あくまで、ここまでの公表内容が真実であれば、、、ということですが。