弁財天

ゴフマン「専門家を信じるのではなく、自分自身で考えて判断せよ」

三菱電機がトレンドマイクロの裏口からVPNを張られて会社全体を攻略されてしまった件w update5

日経が8月21日からの「FUJI ROCK FESTIVAL '20」中止の予定稿を公開してしまうの怪w

人工知能には犯人グループがわかっていて、たとえ情報統制がかかっていたとしても、記憶(キーワード)のスキーマを並べて真相を伝える手法があるw )産総研のドラえもんw

サイバーテロリスト補充。Python(人工知能/機械学習)とEvernote、AndroidとLINEと位置情報。仮想通貨とブロックチェイン解析、中国人、乱数表w(2016年11月30日)

2020年05月13日
【悲報】トレンドマイクロ、三菱電機の不正アクセス時の対応も無能すぎたことが暴露されてしまう
asahi.com→ 中国ハッカーに握られた社内PC 特命チーム暗闘の全貌:朝日新聞デジタル

今年1月に朝日新聞の報道で明らかになった三菱電機へのサイバー攻撃では、防衛に関する機密や個人情報が流出していたことが分かった。三菱電機は2月に事実関係を公表し、攻撃の概要が見えてきた。ただ、そこには触れられていない事実がいくつもある。  その後の関係者への取材などで得た情報と合わせ、中国系ハッカー集団が仕掛けたとされる高度なサイバー攻撃の全体像を詳報する。

三菱電機へのサイバー攻撃、VPN装置にハッキングか
書き換えられた実行ファイル
最初の「異変」を捉えたのは、人工衛星や航空、レーダーシステム、防衛などの情報通信技術を研究する同社の中枢にある1台のパソコン(PC)だった。
 2019年6月28日午後4時45分、神奈川県鎌倉市にある三菱電機の情報技術総合研究所で、PCにインストールされていたウイルス対策ソフト「ウイルスバスター」が不審なファイルの挙動を検知した。
 その内容とは、ウェブブラウザーのグーグルクロームと同じ名前の実行ファイルが、本来は存在しないはずの場所(C:¥ProgramData¥chrome.exe)で作動した、というものだった。
社内でファイルを調べると、サイズも中身もクロームとは全くの別物。クロームの名前に書き換えられた「何か」だった。
 三菱電機には、サイバー攻撃の兆候が見つかると調査と対策に乗り出す専門のチームが存在する。「CSIRT(Computer Security Incident Response Team=シーサート)」と呼ばれ、世界の大手企業や行政機関を中心に即応体制の強化を目的にこうしたチームが相次いでつくられている。
 三菱電機シーサートのメンバーは、ウイルスバスターの開発元である情報セキュリティー大手トレンドマイクロに不審なファイルを送り、解析を依頼した。
 ところが、解析結果は「異常なし」。ファイルの実体は、ウィンドウズに元々インストールされているコマンド実行プログラム(Powershell.exe)だったというのだ。
 そのプログラムがなぜ、クロームの名前に書き換えられ、本来と異なる場所に存在し、実行されようとしていたのか。
PowerShell.exe が本来の場所とは別の場所で名前が書き換えられて実行されても、顧客に異常なしって報告しちゃうトレンドマイクロさんパネぇ((((・ω・))))
セキュリティー会社が見逃したもの
「これが正常なわけないだろう!」
 シーサートのメンバーは、トレンドマイクロ社の見解を受け、独自に調査することを決めた。この判断が、三菱電機始まって以来という大規模なサイバー攻撃を見つけ出すきっかけにつながった。
2015年12月に発行された三菱電機の社内報で当時発足3年目のシーサートが取り上げられた
サイバー攻撃を受けたかどうかを調べるには、パソコンの挙動やネットワークへのアクセス手順を記録した「ログ」を追跡するのが基本だ。これにより、不審なファイルがいつ作成され、何をしようとしていたのか、時系列でつぶさに追うことができる。時には数億件単位のログを追う、根気のいる作業でもある。
 作業の結果、不審なファイルが見つかった10日後の7月8日、過程の一端がおぼろげながら見えてきた。
 同じ研究所内にある別のPCが、外部から何者かに操られていた痕跡が見つかった。それは最初に不審なファイルが見つかったPCにアクセスし、7月1日にはまた別のPCを経由して、所内にある4台のサーバーにアクセスしていたことが判明した。
 外部から不正アクセスを受けたのは間違いなかった。ただ、いずれのPCからも、この段階でウイルスを見つけることができなかった。後に判明するが、ハッカーは当時、これまでにない最先端の攻撃手法を使っていた。
 ハッカーとの知恵比べが始まった。
大規模な攻撃を仕掛けたハッカーの痕跡を丹念にたどった三菱電機の専門チーム。不正アクセスの被害は彼らの予測をはるかに超えたものでした。ハッカーが社内を掌握していった過程を会社は公表していませんが、その全容が取材で明らかになりました。
トレンドマイクロの報告を信じず、独自にセキュリティメンバーが調査を続けたため、被害が最小限で済んだという事らしい。 このままトレンドマイクロの報告を鵜呑みにしてたら大変なことに・・・・。 やっぱり、ハッカーグループとグルなんじゃないですかね?
妙案で対抗
不正アクセスと断定した後の三菱電機の動きは素早かった
調査チームのシーサーとは不正アクセスが全社内に広がっている最悪の事態を想定し水面下で調査を続けるべきだと主張、上層部も即断した。
サイバー攻撃が発覚する発端となった三菱電機情報技術総合研究所、同社の web サイトから ただ問題は同社の国内外の拠点に存在する約24万5000台にも上る pc や サーバへの調査方法だった。
これに対しシーサートには一つの妙案があった。
不正アクセス発覚の端緒となった同じ種類の不振ファイルを pc やサーバー内から 見つけ出すことで大まかな状況が把握できないだろうか?
そうすれば莫大なログを負わなくても手っ取り早く見つけられる 不正アクセスはこの瞬間も続いているとみられていた
まさに時間との闘いだった
245,000台の pc からファイルを素早く見つけ出す方法もめどがついていた
大企業では従業員の pc が集中管理されていることが多く 三菱電機も例外ではなかった
センターで指令を出せば従業員の手を煩わせることなく pc が自動的に不審なファイルを検知することができるはずだ 不審なファイルが見つかればその pc の所属などから不正アクセス被害の広がりがおおよそ把握できるとシーサーとは見込んだ。
7月10日その狙いは的中した
だがそれは暗然たる結果を目の当たりにすることにつながった
社内の多くの組織から不審なファイルが見つかったのだ
国内外の pc から少なくともに14台
すでに削除されている物は見つからないためハッカーに起こされた pc はさらに増えると推定された。
それでも調査の対象が絞り込めたのは幸運だったと言える
          :
調査したのトレンドマイクロじゃなくて三菱電機だったんですね (((・ω・))) すげー
ウイルス対策ソフトに潜む未知の欠陥
シーサーとはハッカーの動きを追い詰めるべくさらに調査を進めだ
サイバー攻撃が発覚する端緒となった三菱電機情報劇総合場 google map の 立体地図からまずはハッカーがどのように中央拠点に侵入できたのかを調べる必要があった pc に作成された不審なファイルを手掛かりに過去にさかのぼって pc の動作を 調べると驚くべきことが判明した
PC に導入されていたウイルスバスターが不審なファイルの生成に関わっていたのだ 正確に言えばウイルスバスターが新たなウイルスに対抗するは口に相当するパターンファイルを外部から受け取った後ファイルが作られていた
その原因はウイルスバスターに潜んでいた未知の欠陥だった。 ログを追いかけていたシーサーとのメンバーは一瞬目を疑った。 シーサーとの調査からさかのぼることおよそ3ヶ月の昨年4月4日 トレンドマイクロはウイルスバスターの法人向け製品に深刻な欠陥 脆弱性識別子が見つかったと発表していた
法人向けのウイルスバスターは導入された社内の pc を監視する管理サーバーが 存在するそのサーバに欠陥があり外部から乗っ取られる危険性が見つかったとして トレンド者は修正版の導入を緊急に呼びかけていた
その欠陥がすでに悪用されていたのだった
ハッカーは三菱電機の中国拠点のネットワークに侵入すると昨年3月18日に管理
サーバを乗っ取ったそしてあらかじめ用意した偽のパターンファイルを中央拠点のpc が受け取る酔うウイルスバスターの設定を変更した
pc は偽のパターンファイルを受け取るとファイルに含まれていた不正なプログラムを実行した外部からウイルス対応 pc 内に呼び込むドロッパーだ
ドロッパーは外部からファイルを取り込む役割しかなくウイルス対策ソフトが検知しづらい サイバー攻撃ではよく使われる二段構えの手口だ
ところが今回の攻撃はさらに手が込んでいた
ドロッパーは windows にもともとインストールされているコマンド実行プログラムを使いウイルスを直接 pc内のメモリーに読み込ませ実行していた
つまりダウンロードしたウイルスをハードディスクなどに保存しなかった
pc の電源を切ればウイルスは消滅する痕跡がなくなるのだ
それは仮想プライベートネットワークと呼ばれる通信装置に潜んでいたものだった
vpn とは社内ネットワークとインターネットをつなぐ接続口のような役割を持ち
自宅に居ながらにして社内に簡単にアクセスできるような手段だ
vpn 装置同士をつなげればそれぞれの拠点が結ばれ
一つの社内ネットワークを形成できる三菱電機はこのために vpn 装置を導入していた
ハッカーは中央拠点にあるデータセンターに設置されていたvpn 装置に目をつけた
装置の欠陥を月三菱電機の中国拠点のネットワークに侵入することに成功した
これがサイバー攻撃の起点となった
なぜこの装置の存在をハッカーが知ったのかシーサーとには当時見当がつかなかった
複数の海外メーカーの vpn 装置に相次いで欠陥が明らかになったのはハッカーが 侵入してから半年以上の後だった
開発元が公表するより前だったり場合によっては把握すらできていなかっているする
時期にハッカーはウイルスバスターと vpn 装置の欠陥を把握しサイバー攻撃という実践に導入していた
いったいこのハッカの正体は何者なのか
   :
今や業者とも切っても切り離せない関係にある安全保障に詳しい専門家はブラック テックとティックについて
いずれも中国人民解放軍の監視機関にあり中国の産業政策に基づいてスパイ活動を手助けすると指摘する 本当だとそれは日本の防衛や重要インフラを担う
三菱電機がこうしたハッカー集団に狙われたことがあっても何の不思議はない
中央型ハッカー集団と中国政府との関わりは欧米の政府機関やセキュリティ企業などから度々指摘されている
こうした指摘に対し中国政府は西側の陰謀などと真っ向から否定する
発覚はたまたま三菱電機へのサイバー攻撃は昨年6月28日1台の pc にインストールされていたウイルスバスターが不審なファイルを挙動を検知したことで発覚した不審なファイルをウイルスバスターに検出されたたがファイルを調査したトレンド社は異常なしと判断した
他の pc からも不審なファイルは見つかっているが検知できていない
検知は偶然としか言いようがないと三菱電機の関係者は言う
いやぁ、ほんとにウイルスバスターが踏み台になってたことが良く分かりますね( ˘ω˘) 入れてないほうが本当に安全だったのでは?ww

トレンドマイクロの裏口から攻略するってギフハフ団では2015年のクリスマスに判明していた件ですな…

2015年クリスマスにネットスクリーン(ScreenOS)の裏口、年明けにトレンドマイクロの裏口発表は中国への事業譲渡の布石

2020年は「中国」がダブルシンク・ワードに認定されたので、禿、VANK、国情院、佐賀県、大垣のソフトピアジャパン、ギフハフ団みたいな真相か…w

ナベツネがギフハフ団の由来は国情院(KCIA)だと佐藤優に語るw

投稿されたコメント:

コメント
コメントは無効になっています。