I C T | kuniの経済徒然日記

NECにもサイバー攻撃　防衛省が公表に圧力？

三菱電機の次はNECですかぁ。サイバーセキュリティを事業として手掛ける電機大手がこうも簡単に攻撃を受けるとは、、、。攻撃を受けたのは防衛事業と他部署をつなぐ中間サーバーとのことですが、なんと最初の攻撃は17年6月ですと。もう3年近く前のことです。

攻撃の概要

NECが公表したニュースによると、どうやら未知のマルウェアに社内PCが感染。感染した社内PCが外部のサーバーと不正に通信して、一部のサーバーに保存されていた27,445件のファイルに対して不正アクセスが行われていたということです。しかし、これらのファイルには秘密等や個人情報は含まれていないというんですが、、、どうでしょうね。

読めてなかった記事

kuniが読み飛ばしていた日経の記事に、次のようなことが書かれてました。河野防衛相の会見の内容で、三菱電機、NEC以外にも、2016年度と2018年度にそれぞれ違う防衛関連企業がサイバー攻撃を受けた。と明らかにしたうえで、「不正アクセスはしっかりと公表すべきだ。いま企業と公表に向けて調整している」と発言されてます。

三菱電機がサイバー攻撃を受けたことを公表した直後、梶山経産相や高市総務相が「もっと早期に公表すべきだった」と苦言を呈していました。三菱電機の件が公表されたことを受けて、今回のNECも公表せざるをえなくなったということでしょう。

防衛省も辛い立場ですね

三菱電機が20日、NECが31日。この10日間で防衛省とNECが調整して（何を？）、公表ということになったと。そういうことですね。防衛省としては国防に関する情報だけに、とにかく表沙汰にはしたくない。しかし、経産省や総務省としては情報公開すべしと迫ります。

これら関係する各省もこの10日間で調整、大人の合意に至ったということ。でしょうね。これから公表する残りの防衛関連企業、2社ってどこ・・・。

サイバーセキュリティ強化　総務省が緊急提言　NOTICE

総務省は1/28、日本が早急に取り組むべきサイバーセキュリティ対策について、緊急提言を発表しました。タイトルは長くて、「我が国のサイバーセキュリティ強化に向け速やかに取り組むべき事項」です。東京五輪・パラリンピックに向け、サイバー攻撃への取組みが本格化してきましたね。

概要　5点の対策

総務省が挙げた対策は以下の5点
①　IoT機器のセキュリティ対策
②　地方公共団体向けのサイバーセキュリティ演習
③　情報共有体制の強化
④　公衆無線LANのセキュリティ対策
⑤　法令やガイドラインの策定、改定　　です。

IoT機器のセキュリティ対策

5点のうち個人にとって重要なのが、「①　IoT機器のセキュリティ対策」です。今日はこれを取り上げましょう。NOTICEという取り組みをご存知でしょうか。総務省やNICTおよびインターネットプロバイダが連携して、サイバー攻撃に悪用されるおそれのある機器を調査し、当該機器の利用者に注意喚起を行っています。

IoT機器というとピンとこないかもしれませんが、個人の場合ですと、ルータやウェブカメラといった機器です。インターネットからこうした機器に彼らがアクセスし、容易に推測されるID・パスワードを入力することによりサイバー攻撃に悪用されるおそれのある機器を特定します。

要するに、「あなたのルータ、簡単にアクセス出来ちゃったよ。」ということですね。そして、その機器の利用者に対し、契約しているインターネットプロバイダから、電子メールや郵送などにより注意喚起が行われます。「あっ、そういえばそんなメール来てた」、なんて方いらっしゃいませんか。

総務省の緊急提言の中では、「複数回注意喚起を受けても対応の見られない利用者もいることから、より効果的な注意喚起手法について検討を行う必要がある」とこぼしています。注意喚起を受けられた方、速やかに設定マニュアル等を参照し、第三者に推測されにくいパスワードに変更しましょう。

ネットワンなど、決算発表延期　→　ネットワン・東芝ITサービス・日鉄ソリューションズの循環取引

ネットワンシステムズは1/21、30日に予定していた2019年4～12月期決算の発表を2月13日に延期すると発表しました。「特別調査委員会の調査結果受領までにいましばらくの時間を要する見込みであるため」と説明されています。

ネットワンなど、、、

このタイトル、昨日の日経の記事のタイトルそのまんまです。ネットワンなど、という表現が目を引きました。たしかに21日にネットワンシステムズは延期を発表しているんですが、日鉄ソリューションズについても並べて伝えていて、そのため「など」と書いたわけですね。

しかし、一方の日鉄ソリューションズは延期の公表をしたわけではありません。自社のホームページ、IRカレンダーのコーナーで2月4日決算発表予定と表示しただけです（いつ表示したのかは確認できず）。にもかかわらず、「など」としたあたり、やはり日経も両社に関連ありとみてるんでしょうか。

ちなみに、日鉄ソリューションズの前年度の第3四半期決算短信の日付は2月1日。もう一年度前は1月30日となっているので、たしかに少し延期した感はありますが。

やっぱり3社で循環取引

とまぁ、ここまで書いたところへニュースが。ネットワンシステムズ→東芝ITサービス→日鉄ソリューションズ、という循環取引があったことが確認されたようです。22日11：13の日経デジタルのニュースです。複数の関係者が明らかにしたとのこと。やれやれ、やっぱりですかぁ。

こうなると、いまさらですが、東芝も誠意のあるお詫びと、第三者委員会の設置が必要ですね。いかにも、「子会社の子会社のことだし、東芝本体の知ったことじゃない。。。」みたいな姿勢が透けて見えるあのプレスリリースだけではいかんでしょうし、グループの膿を出し切るためには第三者による調査を徹底しないと。これが最後のチャンスじゃないでしょうか。

三菱電機　サイバー攻撃（ゼロデイ攻撃）

1/20　三菱電機は同社のネットワークが第三者による不正アクセスを受け、個人情報と企業機密が外部に流出した可能性があることを公表しました。最も心配された、防衛や電力、鉄道などの社会インフラに関する機微な情報等は流出していないことを確認済みであることも、併せて報告されています。

朝日新聞のスクープ

だったと思うんですね。20日の朝の時点で朝日新聞デジタルで流れてたのを読んだのが最初だったと思います。昨年12月に新入社員の自殺というニュースがあったところでしたし、「またかよ」って感じで読みました。内部からのリークだったんでしょうかね。

そしてその後の報道、すべてに目を通しているわけではありませんが、概ね同社の対応を一定程度評価しているような伝え方になってるようです。不正アクセスを検知したのが昨年6月28日。その後行政等の関係各機関とは連絡を取りながら対処してきたようで、最もリスクの高い防衛・電力・鉄道等のインフラに関する情報の流出は回避したようです。

ゼロデイ攻撃

プレスリリースによると、「原因」の欄には、「当社が利用するウィルス対策システムのセキュリティパッチ公開前の脆弱性を突いた第三者の不正アクセスが原因です。」とあります。システムに脆弱性が発見され、修正プログラムが提供される日より前に、その脆弱性を攻撃される、いわゆるゼロデイ攻撃を受けたというわけです。

修正プログラム（セキュリティパッチ）が出来上がる前に攻撃されたわけですから、同社の責任を問うわけにもいきません。これについては世間もやむを得ないと感じたでしょう。むしろ、三菱電機以外の企業もすでに攻撃されているのではと思わされました。

そして、流出した情報も、三菱電機の採用応募者、従業員、関係会社の退職者に係る個人情報です。同社の技術資料や営業資料も流出しているようですが、報告を見る限り、情報の重要性に応じたアクセス管理ができていたことを感じさせます。三菱電機の今回のプレスリリース、非常に良くできています。あくまで、ここまでの公表内容が真実であれば、、、ということですが。

サイバー攻撃　破られる日本語の壁

サイバー攻撃に関しては折に触れて当ブログでも取り上げてきました。ICTの業界でもその脅威に対する警告が発信され続けているんですが、実際のところそれほどしっかりと受け止められていないような気がします。オリンピックイヤーの今年、サイバー攻撃の増加が懸念されます。

破られた日本語の壁

欧米に比べて、サイバー攻撃が日本で多く発生してこなかった理由は、日本という国が特殊であったため。ランダムに攻撃するならば、できるだけ多くの人間がその言語を理解する方が良いわけで、当然英語が使用されます。そのため攻撃対象は英語圏のサイトや端末ということになるわけです。

そして、ターゲットを絞って攻撃する際にも、そのサイトがどういうサイトであり、どれだけ重要な情報がありそうか、が日本語サイトの場合は分かりにくかったというのもあったと思います。ところがWebブラウザにおける自動翻訳機能の登場で、日本語サイトも理解できるようになってきました。

さらに、フィッシングサイトへの誘導メールなどで使われる日本語についても、言い回しや文法が不自然なものが多く、ここでも日本語の壁が日本を救ってくれていたという一面がありました。が、しかし、最近の誘導メールの日本語も明らかに進化し、不自然さを感じさせないものが増えてきています。

様々な面で日本人を守ってきてくれた日本語の壁、残念ながらもう限界のようです。欧米並みの頻度で攻撃されることを前提とした準備が必要に、、、と、そんな場面で、国際的にも最高度の注目を集めるオリンピックが東京で開催されるわけです。

新しい攻撃対象　スマホ

スマホへの攻撃、SMSにフィッシング詐欺を仕掛けるスミッシング詐欺。以前一度取り上げましたので概要はその記事でご覧いただきたいのですが、日本人の誰もが肌身離さず持っていて、IDとパスワードだけ抜き取られます。メールの文面も違和感なく、誘導された偽サイトも基本的に本物サイトと区別がつきません。

サイバー攻撃元年になりそうな今年、この手口による被害はかなり拡大しそうな気がします。