2020年1月20日、三菱電機株式会社は不正アクセスによる情報漏洩の可能性を公表した。報道が先行し、発覚から約6ヶ月後の公表となったこの事案は、中国系APTグループによる標的型攻撃だ。ウイルスバスター法人版管理サーバーの脆弱性(CVE-2019-9489)がゼロデイ状態で悪用され、アップデート機能を通じて国内拠点へと感染が拡大した。調査対象となったPCは延べ24.5万台に達し、防衛装備庁・JAXA・原子力規制委員会など10以上の官公庁との通信を含む機密情報が流出した可能性がある。攻撃者によるログ消去で被害全容の特定は困難を極めた——この事案が「セキュリティ製品自体が攻撃の踏み台になる」リスクの日本代表事例として今も語り継がれる理由を解説する。
組織概要
三菱電機株式会社は東京証券取引所プライム市場上場の総合電機メーカーで、連結売上高は約4.8兆円(2020年度)、連結従業員数は約14万人だ。事業は重電・産業メカトロニクス・情報通信システム・電子デバイス・家庭電器の5分野に及び、防衛省・国土交通省・JAXA等への防衛・宇宙・インフラ関連システムの供給も行う。このため今回の標的型攻撃は、純粋な企業情報漏洩を超えた国家安全保障上の問題として扱われることになった。
何が起きたのか
タイムライン
- 2019年3月18日(推定):中国の三菱電機グループ拠点において、ウイルスバスター法人版(企業向けエンドポイントセキュリティ製品)の管理サーバーにゼロデイ脆弱性(CVE-2019-9489)を悪用した攻撃が行われる。当該脆弱性はこの時点で未公表・未修正のゼロデイだった(後にトレンドマイクロが2019年4月にパッチをリリース)。
- 2019年4月3日:中国拠点の管理サーバーから国内(日本)のウイルスバスター法人版管理サーバーへと感染が拡大。アップデート配信機能を悪用してエンドポイントにマルウェアが展開される。
- 2019年6月28日:三菱電機の情報技術総合研究所(稲沢)のサーバーから不審なファイルが検出され、社内で異変が発覚。
- 2019年7月8日:ネットワークへの不正アクセスが事実として把握される。
- 2019年7月10日:社内一斉調査を開始(対象:ネットワーク接続PC 24.5万台)。
- 2019年7月17日:攻撃者との通信先を遮断し、封じ込め完了と判断。
- 2019年8月1日〜11月15日:フォレンジック調査実施。一部端末でログが消去されており、被害範囲の完全な特定は困難と判明。
- 2020年1月10日:経済産業省に報告。
- 2020年1月20日:朝日新聞の報道を受け、三菱電機が公式発表。発覚から約6ヶ月の遅延公表となる。
- 2020年2月7日:防衛省への機密情報漏洩の可能性が新たに判明。防衛装備庁が2018年10月に三菱電機に貸し出した装備品研究試作に係る入札関連情報(PDF化が無許可で行われていた)が流出した可能性がある。
- 2020年2月以降:政府機関(資源エネルギー庁・原子力規制委員会・内閣府・環境省・JAXAなど10以上)との往来文書・情報の漏洩可能性が順次判明。
攻撃経路の分析
初期侵入:ウイルスバスターのゼロデイ悪用(確認済み)
三菱電機への攻撃が高度に洗練されていたのは、侵入口としてウイルスバスター法人版(OfficeScan)の管理サーバーを選んだ点にある。この管理サーバーはエンドポイントの全端末にセキュリティポリシーやウイルス定義ファイルを配布する「信頼された中枢」だ。
攻撃者が悪用したのはCVE-2019-9489——2019年3月時点でまだパッチが存在しないゼロデイ脆弱性だ(トレンドマイクロのパッチは同年4月リリース)。この脆弱性により管理サーバー自体が乗っ取られ、攻撃者はそのサーバーが持つ「全端末へのアップデート配信権限」を悪用した。
感染拡大:正規アップデート機能の悪用(確認済み)
管理サーバーを掌握した攻撃者は、通常のウイルス定義更新のように見せかけて不正なファイルを全エンドポイントに配布した。この手法は「ゴールデンアップデート攻撃」とも呼ばれ、セキュリティ製品の信頼された配布経路をそのまま攻撃ベクターに変換する点で検知が極めて困難だ。中国拠点の管理サーバーが制御下に置かれた後、同年4月には国内の管理サーバーへの感染が拡大した。
横展開とPowerShellフィルレスマルウェア
感染したエンドポイントではPowerShellを使ったフィルレス(ファイルなし)マルウェアが実行され、リモートコントロールが確立された。フィルレスマルウェアはディスクにファイルを書き込まずメモリ上で動作するため、従来のファイルスキャン型のアンチウイルスでは検知が困難だ。攻撃者はこれを使って内部偵察・情報収集・データ窃取を行ったとみられる。
攻撃グループの特定
攻撃グループについて、三菱電機は公式に特定グループを名指ししていない。報道・研究機関の分析ではBlackTech(ブラックテック)が主体として指摘されている(三菱電機の公式確認ではない)。BlackTechは台湾・日本を主な標的とする中国系の国家支援APTグループで、日本では別名「Palmerworm」としても知られる。当初Tickが攻撃者として報道されたが、後の詳細調査でBlackTechが主体とする見方が強まった。複数のAPTグループが関与していた可能性も指摘されている。
ログ消去による証拠隠滅(確認済み)
調査を最も困難にしたのが、攻撃者によるログの消去・改ざんだ。一部の端末でイベントログが削除されていたことが確認されており、どの端末から何のデータが窃取されたかを完全に特定することが不可能になった。「何が漏れたかわからない」という状況は、事後の被害補償・通知先特定・再発防止策の検証すべてに影響を与えた。
被害内容
確認された個人情報漏洩
- 現役従業員(2012年度アンケート回答者):4,566人分
- 採用応募者:1,987人分
- グループ会社退職者:1,569人分
- 合計:8,122人分(確認ベース)
流出可能性のある機密情報
- 執行役員会議資料、研究施設の週次レポート
- 数十社との商談・受注関連情報
- 防衛装備庁から借り受けた装備品研究試作に係る入札関連情報(2018年10月貸与分)
- 資源エネルギー庁・原子力規制委員会・内閣府・環境省・JAXA など10以上の官公庁との往来文書・やり取り情報
これらの「流出可能性」はログ消去により「確認できなかった」のが現実だ。すなわち漏洩したかどうかすら断言できない状態での公表を余儀なくされた。
調査規模
- 調査対象PC:24.5万台(三菱電機グループのネットワーク接続端末全数)
- 影響拠点:国内14事業部の大半、管理部門の一部
なぜ被害が拡大したのか
1. セキュリティ製品が最大の攻撃ベクターになった逆説
最大の教訓は、守るためのセキュリティ製品そのものが最強の攻撃経路になったという逆説だ。ウイルスバスター管理サーバーは全エンドポイントへのアクセス権を持つ最高特権ポイントだ。ここを制圧できれば攻撃者は管理者権限・全端末へのプッシュ配信・通信ログの操作をすべて合法的に見える形で実行できる。このリスクは「エンドポイントセキュリティ製品の管理サーバー自体のセキュリティ」として今も業界の重要課題だ。
2. ゼロデイ脆弱性の悪用——パッチが存在しない時点での侵入
CVE-2019-9489のパッチはトレンドマイクロが2019年4月にリリースしているが、三菱電機への攻撃は同年3月に始まっていた。つまりパッチが存在しなかった期間に攻撃は完了していた。ゼロデイを悪用した国家系APT攻撃は、「最新パッチを適用しておけば防げた」という通常のセキュリティアドバイスが通用しない。
3. 中国拠点のセキュリティが本社への侵入路になった
侵入は中国拠点のウイルスバスター管理サーバーから始まり、そこが国内管理サーバーへの踏み台となった。グローバルに展開する企業は、セキュリティレベルの低い海外拠点が「国内本社への裏口」になるリスクを常に抱えている。海外拠点のセキュリティ管理を本社と同一水準に保つことは難しいが、このケースは「できていなかった結果」を明示した。
4. 6ヶ月の遅延公表が信頼を損ねた
三菱電機が異変を検知したのは2019年6月で、公表は2020年1月(朝日新聞報道後)だ。約6ヶ月の遅延について三菱電機は「社内調査の進行と取引先への個別連絡を優先した」と説明したが、防衛省・JAXA等との関係において「なぜこれほど遅れたのか」という批判は免れなかった。個人情報保護法の観点でも、漏洩の可能性把握後の早期公表が求められている。
同様の攻撃を防ぐ方法
セキュリティ管理サーバー自体の保護
- エンドポイントセキュリティ製品の管理サーバーを「最高特権資産」として扱い、専用のセグメントに隔離する
- 管理サーバーへのアクセスは特定の管理端末(ジャンプサーバー)経由に限定し、MFAを必須化する
- 管理サーバー自体の動作ログ(誰がどのポリシーを変更したか)を別システムに転送・保護する
- 管理サーバーのベンダー(今回の場合トレンドマイクロ)からのセキュリティアドバイザリ購読を自動化し、緊急パッチの適用を標準プロセスに組み込む
ゼロデイ攻撃を前提としたレジリエンス設計
- 「パッチが出ていないから脆弱性が存在しない」という前提を捨てる。ゼロデイ攻撃は常に存在し得る
- エンドポイントに加え、ネットワーク内部の異常通信を検知するNDR(Network Detection and Response)を導入し、侵入済みの攻撃者の活動を振る舞いで検知する
- フィルレスマルウェア対策として、PowerShell実行ポリシーを制限し、LOLBins(正規ツールの悪用)の実行パターンを監視する
海外拠点のセキュリティ均質化
- 海外拠点(特にセキュリティ規制が異なる中国・東南アジア拠点)のネットワークを本社と直接接続せず、DMZ・踏み台サーバー経由の制御された接続とする
- 海外拠点のセキュリティ管理状況を本社と同水準で定期的に監査する
- グループ内のどの拠点もが「侵害済みである可能性」を前提とし、ゼロトラストアーキテクチャを採用する
インシデント発生時のログ保護
- 重要システムのイベントログを不変ストレージ(WORM:Write Once Read Many)または外部SIEM に即時転送・保護し、攻撃者がエンドポイント上のログを消去しても証拠が残る設計にする
- フォレンジック調査に必要なログの保存期間・保存場所を事前に設計し、定期的に復元テストを行う
公表遅延のリスク管理
- 個人情報保護法(2022年改正)では、一定規模以上の漏洩は検知から「速やか」(概ね3〜5日以内)の個人情報保護委員会への報告と、30日以内の本人通知が義務化されている。対応フローを今すぐ確認する
- 取引先・官公庁への個別連絡と公式発表は並行して進めることができる。「調査が完了してから」という判断が遅延公表を招く
情シス担当者が確認すべき項目
- 社内で使用しているエンドポイントセキュリティ製品(EDR・EPP)の管理サーバーは、どのネットワークセグメントに配置されているか。通常業務ネットワークから分離されているか
- エンドポイントセキュリティ製品のベンダーからセキュリティアドバイザリ(CVE情報)を定期的に受信する仕組みがあるか
- 管理サーバーへのアクセスにMFAが設定されているか
- 海外拠点のITシステムが本社ネットワークと直接接続されていないか。接続している場合、適切なアクセス制御が設定されているか
- PowerShellの実行ポリシーが制限されているか(AllSignedまたはRestricted推奨)
- 重要サーバーのイベントログが外部SIEMに転送・保護されているか(ローカルログだけでは攻撃者に消去される)
- 防衛省・官公庁等から借用した機密情報の管理・保管ルールが定められているか。無断でのデジタル化・コピーが禁止されているか
- インシデント発覚時の個人情報保護委員会への報告フロー(「速やか」の基準)を把握しているか
- フォレンジック調査会社との事前契約(リテーナー)があるか
- NDRまたはSIEMで内部ネットワークの異常通信(ラテラルムーブメント・異常なデータ転送量)を検知する仕組みがあるか
類似事例
- SolarWinds(米国、2020年12月):ITインフラ監視ツールSolarWinds Orionのアップデート機能を汚染し、18,000以上の組織にバックドアを配布したサプライチェーン攻撃。三菱電機事案と同様に「正規のアップデート機能が攻撃ベクターになった」という構造が共通する。米政府機関・Microsoft・FireEye等が被害を受けた世界最大規模のサプライチェーン攻撃。
- JAXA(宇宙航空研究開発機構)不正アクセス(2016年・2023年):JAXAは複数回にわたり標的型攻撃を受けており、2016年にはH2Aロケット関連情報の漏洩が指摘された。2023年にも不正アクセスが確認され警察庁が調査。三菱電機事案でもJAXAとの往来情報の流出可能性が指摘されており、航空宇宙・防衛分野が長期的に中国系APTの標的となっていることを示す。
- 川崎重工業 不正アクセス(2020年):三菱電機の公表から数週間後、同じく防衛関連企業である川崎重工業も不正アクセスを受け海外拠点経由での侵入が報告された。日本の重工業・防衛産業が同時期に同種の攻撃グループの標的となっていたことは、組織横断的な脅威情報共有の必要性を示す。
参考情報
- 三菱電機株式会社「不正アクセスによる情報流出の可能性について」(2020年1月20日)
- 三菱電機株式会社「不正アクセスについての続報(第2報)」(2020年2月12日)
- piyolog「ログ消去もされていた三菱電機の不正アクセスについてまとめてみた」(2020年1月)
- トレンドマイクロ セキュリティアドバイザリ CVE-2019-9489(2019年4月)
- マイナビニュース「日本企業を狙うサイバー攻撃集団「Tick」とは何者か?」(2020年1月)
- SBビジネスメディア「三菱電機サイバー攻撃を5つのポイントで整理 本当に国防情報は盗まれていないのか?」
- 日経クロステック「三菱電機にサイバー攻撃で情報流出の恐れ、「防衛・電力・鉄道事業に被害なし」」