パスワードを忘れた? アカウント作成
793733 story
ニュース

三菱重工にサイバー攻撃、80台以上のサーバーやPCがウイルス感染 70

ストーリー by headless
発覚 部門より
greentea 曰く、

三菱重工がサイバー攻撃を受け、少なくとも80台のサーバーやパソコンがウイルスに感染していたそうだ(YOMIURI ONLINEの記事NHKニュースの記事)。

ウイルス感染が確認されたのは本社のほか、神戸造船所、長崎造船所、名古屋誘導推進システム製作所など、9か所のサーバーやパソコン。これらの拠点では最新鋭の潜水艦やミサイル、原子力プラントなど、防衛・原発関連の製品を生産している。外部からの侵入および情報抜きとりの痕跡も見つかっていることから、サイバー攻撃を受けた可能性が高いとして、同社は警察に相談しながら調査を進めているとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2011年09月19日 13時06分 (#2021727)

    普通の会社ならメール&スパムアプライアンスとアンチウイルスの二段防御くらいしますよねー
    また、研究開発系のネットと事務系のネットは物理的に分けますよね。

    重工くらいならサーバアクセスログ取得とか重要機密送信トラフィックをひっかけることぐらいすればいいのに
    機密保持が半分仕事のようなものなのだから。

    また、重要セクションの場合、証明書による送信者認証が確認できないメールは捨てるくらいのことはしないとまずいんですよねー普通
    そんなセクションのメールアドレスにバンバン部外者のメールが来ること自体問題なんですから。

    これを契機に政府官公庁に送信者認証が普及するといいんじゃないかなzw

    • by Anonymous Coward on 2011年09月19日 14時17分 (#2021758)

      標的絞った攻撃ならアンチウイルスやIPSは回避できるように作りこんでから攻撃するんじゃないかな。

      親コメント
      • 標的絞った攻撃ならアンチウイルスやIPSは回避できるように作りこんでから攻撃するんじゃないかな。

        実際、ウィルス対策ソフトで検知出来なかった可能性は高そうです。

        三菱重工、国内11拠点でウィルス感染の事実を公表、「機密情報流出は確認されず」 [nikkeibp.co.jp]

        上記記事中に、発見されたマルウェアの名称として「TSPY_DERUSBI.A」というのが出ていますが、この名称で検索すると、トレンドマイクロの情報に当たります。

        TSPY_DERUSBI.A | トレンドマイクロ:セキュリティデータベース [trendmicro.com]

        先の ITPro の記事によれば、「社内システムのウィルス感染が判明したのは8月11日」。トレンドマイクロが最初にパターンをリリースしたのが 8 月 12 日」。

        とある勉強会で LAC の西本逸郎さんが「標的型攻撃での不正プログラムをウィルスと呼んではいけない」と言われていたのを思い出すなぁ。

        親コメント
      • by Anonymous Coward

        その通りで、単なる既知ウイルスの添付とかいう
        原始的手段ではなく、ソーシャルエンジニアリングを合わせた
        上のコメにもあるAPTのひとつと思われます。
        未知(=亜種)としても多くは既存脆弱性を狙うわけなので
        何だかんだで脆弱性対策が甘かったのでは。

    • >これを契機に政府官公庁に送信者認証が普及するといいんじゃないかな う~む。俺はそうは思わない。 メールの送信者認証って、だれが送ったかを特定できる機能であって そのメール(添付ファイル含む)の正規なものかは判断されない。 正規なものかは、ウイルス対策ソフトでも判断されないケースがあるわけだし。 ラックのように通信データを分析~やばいものを検出~というのにも限界はある。 ほかにも考えるポイントはあるが、それらを総合してどのように社員に使わせるかを 考えないとダメだろぅ。 10/5に、Email Security Conference(東京)が開催される。 http://www.f2ff.jp/event/email-security-expo-conference-2009.html.html [f2ff.jp] メールについては、最新な技術が紹介されるようだから参加してみては?
      親コメント
      • 電子署名についても、今回のケースではかえって危うい場合もあると思う。 電子署名は、「改ざんされていないことを証明」であって、ウイルス付きの検出であるとか、正規なものかを検出してくれるものでは無い。 署名付き=正しいもの=インストールして良い とはならないでしょ? パスワード付きのzipとかで、解凍できないからウイルス対策ソフトを通過しちゃう設定しているところ、けっこうあるんじゃない? そーいう設定されているところで、電子署名付きで来ているものは安全 とか誤った情報を周知してはいかんよ。 それこそ、人災だぜ。
        親コメント
      • >正規なものかは、ウイルス対策ソフトでも判断されないケースがある というのは、ウイルス対策会社(トレンドマイクロ、シマンテック、マカフィ、Sophosとか)が知り得た情報に基づき、不正なプログラムと認識できたものについて、防御がされる。よって、ここにはタイムラグが発生しているし、知らないプログラムは防御されない。たとえば、バッチファイルで、"del c:\*.* /F /S /Q " と書いたテキストファイルを送りつけて、実行させてみなよ。ウイルス対策ソフトの設定によっては検知しないぜ?
        親コメント
    • >メール&スパムアプライアンスとアンチウイルスの二段防御 ↑は確かに当たり前と思う。だが、それだけでは不十分なケースがあるよね。 >重工くらいならサーバアクセスログ取得とか重要機密送信トラフィックをひっかける ログを取得するだけというのは、↑で言っているのはサーバでしょ?  端末の操作ログなんてだれが見るのよ?分析してるところがいたら、見てみたいよ。 システム見学させてくれ。 マジで。 新聞報道によれば、ラックが居たようだから、「重要機密送信トラフィックをひっかける」は やっていたと思うよ。それでも不十分だから記事にもなった。
      親コメント
  • by Anonymous Coward on 2011年09月19日 13時47分 (#2021743)

    通報したとして・・・そもそもサイバー攻撃に対応する能力があるんですかね?

    • by DenRock (38403) on 2011年09月19日 14時23分 (#2021761)
      相手を追うにも、接続情報なんかは警察の要請ないと無理じゃなかったっけ?
      それだけでも効果はあるんでない?
      親コメント
      • by Sam.Mem (42350) on 2011年09月19日 15時56分 (#2021795)
        企業にハックする人が、普通に接続してるとは思えません。

        だからログを追っかけるだけの日本警察だと、ほとんど意味がない気がします。
        もちろん他国に協力も要請できるんでしょうけど、どれほど効果があることか。
        そもそもP2Pに流れた自衛隊の機密情報についても、
        警視庁へのハッキングについても、その後どうなったかは定かではありませんし。

        日本の警察で、高度なスキルでもって犯人を逮捕した事件ってありますかね。

        #コウナゴとかの冗談カキコに過剰反応したりと、弱い者イジメとソフト言論統制やってるイメージしかないです
        親コメント
    • by Anonymous Coward

      警察はかなり前から専門の部署を置いて対応しています。
      とはいえ末端の警察署まではムリなので
      この前のライブハック事件を受けてこの手の話は一度警察庁の専門部署に上げて対応するようになりました。

  • 三菱重工は自社製造にこだわる会社とのことですから セキュリティも自社技術にこだわっていたのかも。
  • by AntiVirus (23670) on 2011年09月19日 22時42分 (#2021908)
    新聞記事読んでみたんだが... メールアドレスを盗まれ、実在するメールアドレスを取得→ウイルス付きメール送付され感染→ →新種なのでそのままウイルス対策ソフトを通過→バックドアを作成され →ウイルスが情報を外部に送信→発覚 という感じに写るね。 まあ良くある手法だね。どの企業で発生してもおかしくないけどね。 なんというか、本当にお粗末ですな。 特に機密情報あるやつは、ネットにつないでおくなよ。 接続するなだけでは対策できないけどさ。 感染とか盗まれる危険性、被害額、機密情報の価値を考慮してないと思われてもしょうが無いね。 新聞報道されていないものもあるだろうし。 (株)ラックも噛んでいたようだが、発見が遅れていたようでもある。 システム担当者とCIOに「だせぇな」と言っておくか。
    • by Anonymous Coward on 2011年09月19日 23時38分 (#2021926)

      なぜか勘違いしている人が多いようですが、とりあえず機密指定の情報が流出したと言う話は出てない [nikkeibp.co.jp]ようですけどどこの情報ですか?

      #新聞報道されていないものもあることを知る立場の人間が、スラドに書き込んでるとか、
      #セキュリティホールそのものが大手を振ってどや顔で書き込んでる、みたいな話だったら笑う

      特に防衛と関わる情報は程度にもよるが、存在から機密指定になっていて、ネットワークに接続しないどころか、紙で保存してあって観覧するときにいちいち許可がいるとか前時代的なことをまだ徹底していたはず。そのお膝元のMHIがやってないとは考えにくいよ。

      きっちり相手が手順を踏んでやられた場合、ここまで規模が大きく関わる人が大きい会社だったら、完全に防ぐことは難しいのは同感なんだが、重要情報が漏れてないのは最後のフェールセーフが正常に働いたからでしょ。
      そういうことに想像力を働かせず「だせぇな」とか言う人の方がよほどださいと思いますよ。

      親コメント
    • by Hatris (33732) on 2011年09月21日 10時02分 (#2022472) 日記

      ヤバイ情報が漏れてるようなら、公表なんてしないよね・・・ここ日本だし。

      大した事ないから、周囲への注意喚起の為に公表したんじゃないでしょうか。

      親コメント
  • by Anonymous Coward on 2011年09月19日 11時57分 (#2021711)

    なんで防衛機密が、ネットから直接参照可能になってるんですかね?
    緊張感が足らんとしか言いようが無い

    • Re:ノーガード戦法 (スコア:3, おもしろおかしい)

      by JULY (38066) on 2011年09月19日 12時26分 (#2021715)

      なんで防衛機密が、ネットから直接参照可能になってるんですかね?

      どこに「ネットから直接参照可能になっている」って書いてるんですか?

      ウィルス感染はネットからとは限らないし。

      APT(Advanced Persistent Threat) という言葉で代表されるような、長期にわたって戦略的な攻撃の場合、そんな正面突破じゃなくて、関連企業から狙って、ソーシャルハッキングも含めて、じわりじわりと本丸へ、という話を聞いたことがあります。

      まぁ、現時点では「やられた」以外の情報が全く無いに等しいので、本当に間抜けな状態だった可能性も否定できないけど。

      親コメント
      • Re: (スコア:0, すばらしい洞察)

        by Anonymous Coward

        >本当に間抜けな状態だった可能性も否定できないけど。

        まさかと思うけど、三菱電機インフォメーションシステムズが関わってたりしないよね。
        うん、まさかね。

        実際にはほとんど関係が無いとしても、IT業界における三菱ブランドは最低なのは事実だしな。
        MDISに比べたら大抵の所はアレよりはマシと言うだろう。

        • by Anonymous Coward

          MIHならMDISじゃなくて菱友システムズの方だと思う。

          • by Anonymous Coward

            菱友システムズ、調べたら三菱重工が筆頭株主で、三菱電機も株主ですね。

            さらに調べると、長崎造船所に、三菱電機がMDIS製品入れている実績ありますね。
            http://www.mitsubishielectric.co.jp/meltopia/backnumber/archive/conten... [mitsubishielectric.co.jp]

            三菱電機やMDISが今回問題になっている三菱重工のシステムのセキュリティ運用管理までやっているかはわかりませんが。

        • さて今回は、無実の人を何人差し出せば(誤認逮捕されば)気が済むのでしょうか。
      • Re: (スコア:0, 参考になる)

        by Anonymous Coward

        えっ?
        あの岡崎市立中央図書館の件の三菱だよ?

        電機と重工の違いはあるけど、企業風土なんてグループみんな同じでしょ?

        #物事は乱暴に考える位がちょうどいい

        • by Anonymous Coward on 2011年09月19日 19時01分 (#2021841)

          電機と重工の違いはあるけど、企業風土なんてグループみんな同じでしょ?

          その辺は、組み込み人売りに勤めてた時に、いろんな会社にお邪魔したけど、グループによって違う感じですね。三菱以外だと同じグループでもかなり社風の違うところもあるし。

          ただ、その前に三菱系の会社に勤めてたけど、三菱系は割と系列の縛りが厳しい傾向があって、文化的に似てるというかモノカルチャー的な面が強い感じかな。だから三菱色に染まってしまえば定年までいるけど、そうじゃない人は数年で飛び出しちゃう感じ。
          そして、三菱重工は社風的には割とメカ屋さんが強くて、エレキ→IT系(組み込みも含む)は底辺扱いって感じで、ITリテラシーも今一。
          社内体制というか階層が多すぎてITの活用に向いてない感じ。

          #ACで勘弁してください

          親コメント
      • by Anonymous Coward

        長期にわたって戦略的な攻撃の場合、そんな正面突破じゃなくて、関連企業から狙って、ソーシャルハッキングも含めて、じわりじわりと本丸へ、という話を聞いたことがあります。

        だが、ちょっと待って欲しい。
        最大のセキュリティホールは、実は防衛庁その物である可能性も考えるべきでは無いだろうか?
        (防衛庁の中は、ウィルスに感染したマシンだらけで、三菱は、防衛庁と業務関係のデータとかをやりとりしてる内に感染したとか)

    • by DenRock (38403) on 2011年09月19日 14時21分 (#2021760)
      > なんで防衛機密が、ネットから直接参照可能になってるんですかね?
      直接参照可能なら、とっくの昔にどこぞの掲示板で祭り状態だったろうね。

      報道見る限りだと
      防衛機密にアクセスできる端末が感染して、データを送信されていたかもしれない
      という程度しかわからん。
      親コメント
    • by Anonymous Coward

      "今のところ重要なデータが流出するといった実害は確認されていない"らしいですけれども。

    • by Anonymous Coward

      防衛機密が抜き取られたとはまだ書いてないな。

      システムを日立に見直してもらえ、とか思ってみたりする。
      実は、そんな思惑から....

      • by Anonymous Coward
        その日立も、実は1週間も・・・・(ウッ、何をする)
    • by Anonymous Coward

      どっかの部長みたいw

    • by Anonymous Coward

      大体、この種のコンピューターがインターネットにつながっていること自体おかしい。

  • by Anonymous Coward on 2011年09月19日 11時58分 (#2021712)

    ホントに重要ならthe Internetに繋ぐなよw

    • by Anonymous Coward

      でも、War DialingやWar Drivingを仕掛けられたら
      The Internetに繋いで無くても接続出来てしまうよ。

      #結構あるんですよ、基幹系NWに直接接続出来るダイアルアップルータが・・・
      #サーバルームにRTA50iとかあったら要注意

  • by Anonymous Coward on 2011年09月19日 12時20分 (#2021713)

    なんか、メールでトロイの木馬が送られてきたらしいけど。
    政府とかと付き合いがないんでわからないけど、そういうところからのメールって署名とかないの?

    • by Anonymous Coward on 2011年09月19日 12時30分 (#2021716)

      このメールには署名がありませんが,
      本ソフトウエアは問題ありません.

      添付の実行ファイルをダブルクリックしてインストールしてください.
      その際,あらかじめウィルス対策ソフトを無効にしてください.

      とでも書いてあったんじゃないでしょうか.

      親コメント
    • go.jpなメールアドレス持っていますが、職場標準配備のMUAにそんな高等な機能はなさそうです。

      --
      5E1D 7B4B 1E3A 5A40 D542 C2C1 F17D B613 45B7 F4B2
      親コメント
    • by Anonymous Coward on 2011年09月19日 13時44分 (#2021740)

      なんか、メールでトロイの木馬が送られてきたらしいけど。
      政府とかと付き合いがないんでわからないけど、そういうところからのメールって署名とかないの?

      三菱のセキュリティといえば、独自暗号のコレが思いつく

      > http://www.mdis.co.jp/products/cryptofileplus/ [mdis.co.jp]

      これ、メールにj自己解凍ファイル添付するみたい。
      独自暗号でばっちりですと。

      メール添付のexeファイル実行させるとか、正気の沙汰じゃない。

      日本に良くある、本当に大事なものは何かより建前優先な感が強すぎる。

      親コメント
      • by Anonymous Coward on 2011年09月19日 14時04分 (#2021751)

        MIDSは三菱電機系。
        三菱重工のシステムは菱友システムズだよ。
        元々菱友電算といって、三菱重工のシステム部門が分離されて出来た会社だからこっち。

        MHIからのメールでこんなもん届いたこと無いよ。

        #平文で(ry

        親コメント
        • by Anonymous Coward

          電機系も多少食い込んでるよ。

          まあMDISにセキュリティなんて概念が存在しないのは同意だが。

      • by doda (31157) on 2011年09月20日 16時24分 (#2022120) 日記

        三菱のセキュリティといえば、独自暗号のコレが思いつく

        > http://www.mdis.co.jp/products/cryptofileplus/ [mdis.co.jp]

        これ、メールにj自己解凍ファイル添付するみたい。
        独自暗号でばっちりですと。

        独自暗号っていうから何かと思ったら、Camellia じゃないですか。
        仕様がちゃんと公開されていて、評価も行われているまっとうな暗号です。
        Firefox も対応しているので、知らない内に使っているかもしれませんよ。
        これを独自暗号と呼ぶのは抵抗があります。

        安全性に関しても、AESと 同程度と評価される事が多いと思います。
        # 個人的にはOpenSSH に Camellia パッチをあてて、Camellia のみを使えるようにするくらいに信用しています

        メール添付のexeファイル実行させるとか、正気の沙汰じゃない。

        自己復号型の実行ファイルを送るのは、相手が同じソフトを持っていない場合ですよね。
        この手の暗号化ソフトは、持っていない人に対しては大抵自己復号ファイルを使うようになっていると思います。
        # 実行ファイルを添付するのは褒められるものではないですが

        実行ファイルを送らないとした場合、相手が同じソフトを持っていない場合はどうするのがいいと思いますか?

        親コメント
        • by doda (31157) on 2011年09月20日 16時37分 (#2022126) 日記

          Camellia なのは自己復号ファイルだけで、通常は AES と Misty (MISTY1?) [mdis.co.jp] みたいですね。
          AES は言わずもがなですが、MISTY1 も仕様が公開されていますし、やはり独自暗号と呼ぶのは抵抗があります。
          # MISTY1 が使われているのはほとんど見ませんが

          親コメント
    • by northern (38088) on 2011年09月19日 16時54分 (#2021811)

      http://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/m_mail.html [soumu.go.jp]

      このあたりを見ると、送信ドメイン認証やらに取り組んでるようですな

      親コメント
  • by Anonymous Coward on 2011年09月19日 13時18分 (#2021732)

    5月頃におきたロッキードへのサイバー攻撃 [itmedia.co.jp]があったわけですが、この件との関連性はあるんでしょうかね。

  • by Anonymous Coward on 2011年09月19日 13時36分 (#2021737)

    ジョン「ついにこの日が来たんだね」

    サラ「そうよジョン、あなたが人類を救うのよ」

    ボブおじさん「アイルビーバック」

  • by Anonymous Coward on 2011年09月19日 14時45分 (#2021770)

    サーバーがやられたのか? クライアントがやられたのか?
    私には理解できませんが、これは「攻撃」っちゅうよりも (攻撃は攻撃なのだが) 標的方で " やられた" んと ちゃいますの??
    どうしたら、やられるか理解に苦しみますが? まぁ"まんまと"やられたんでしょ。
    しゃぁないですよ。
    「自業自得」!!!
    頑張ってね。 (はーと

typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...