当社ネットワークに対するマネージド・サービス・プロバイダを経由した第三者からの不正アクセスに係る件
三菱パワーは、当社のネットワークがマネージド・サービス・プロバイダ(以下「MSP」という)を経由した第三者による不正アクセスを受けたことを確認いたしましたのでお知らせします。
本年10月2日に、当社のパソコンにおいて不審な挙動を検知し、三菱重工と連携して調査を開始しました。詳細内容を確認したところ、翌日にかけて複数のサーバ/パソコンから外部に不正通信があることが判明したため、当該機器をネットワークから遮断する等の初動対策を直ちに行った上、通信ログ等の解析を開始するとともに、関係各所へ適宜、報告を行ってまいりました。
社内調査の結果、本事案において、機微な情報や機密性の高い技術情報、取引先に係る重要な情報、個人情報の流出は確認されませんでした。
また、当社サーバ/パソコンを通じた当社以外の三菱重工グループのネットワークへの不正アクセスは認められませんでした。
関係者の皆様にご心配をおかけしたことをお詫び申し上げます。情報セキュリティ対策および監視体制の強化を今後も継続してまいります。
【確認された不正アクセスの概要】
1.経緯
9/7 | 攻撃者は、MSPを経由して当社のサーバ1台に不正にアクセスしてマルウェアを感染させ、9/11にかけて当社内のネットワークを偵察。 |
9/11 | 攻撃者が感染拡大活動を開始。 |
9/12 | 攻撃者による不正アクセスの痕跡が途絶え、9/20にかけて攻撃活動が停止。 |
9/21 | 攻撃者が攻撃を再開、更なる感染活動を開始。 |
9/22 | 攻撃者は、攻撃起点を当社のサーバから、当社のグループ会社のサーバに移動。 |
10/2 | 当社にてパソコンの不審な挙動を検知。翌10/3にかけて影響端末を特定して社内ネットワークから遮断、更に外部不正通信先を特定して当社グループからの通信を遮断。 |
10/7 | 当社にて攻撃者の侵入経路をMSPと特定し、関連機器・通信を遮断。(封じ込め作業完了) |
10/8 | 当社は、MSPに対し同社からの不正侵入が疑われるとして、証跡を提供しつつ調査を要請。 |
10/12 | MSP経由で不正侵入があったとの報告を同社から受領。 |
2.調査結果
感染が認められた社有パソコンおよびサーバを特定し、これらについて調査した結果、影響範囲は当社および当社のグループ会社に限定されることを確認いたしました。また、当社および当社グループの機微な情報や機密性の高い技術情報、取引先に係る重要な情報、個人情報の流出は確認されませんでした。
流出した主な情報は、サーバ設定情報、アカウント情報、認証処理プロセスのメモリダンプ等のIT関連情報であることを確認しています。
3.発生原因と対策
攻撃者による不正侵入はMSP経由であったため、当社と当該MSPとの通信経路を遮断し、サービス利用を停止しております。
サーバの初期感染の原因は、MSPが提供するソフトウェアの脆弱性です。当該脆弱性は未公開、かつ修正プログラム適用等の対処策が未確立のものであったため、当社が三菱重工と連携して当該ソフトウェアの使用を停止させました。
当社内において短期間に感染が拡大した原因は、MSPが所管するUNIXサーバと当社ネットワークとの間にファイアウォールが存在せず、通信を最小限に制限できていなかった点にあります。そのため、三菱重工とも連携の上MSPをはじめとするパートナー企業との接続箇所を対象に、適切にファイアウォールが設置されていることを点検しています。さらに、早期に攻撃を検知するため、サーバの監視機能を強化させています。
今後も、当社は三菱重工と連携し社内の監視体制等を一層強化することにより、再発防止に努めてまいります。
4.関係各所への対応について
関係各所には、本事案確認当初から適宜連携をとりながら調査を進め、報告を行ってまいりました。今後も必要な対策や一層の管理強化につき、ご指導を賜りながら進めてまいります。
以上