三菱パワーにマネージドサービス経由で不正アクセス、ソフトウェアの脆弱性突かれる | ScanNetSecurity
2021.01.18(月)

三菱パワーにマネージドサービス経由で不正アクセス、ソフトウェアの脆弱性突かれる

三菱パワー株式会社は12月11日、同社のネットワークがマネージド・サービス・プロバイダ(MSP)を経由した第三者からの不正アクセスを確認したと発表した。

インシデント・事故 インシデント・情報漏えい
三菱パワー株式会社は12月11日、同社のネットワークがマネージド・サービス・プロバイダ(MSP)を経由した第三者からの不正アクセスを確認したと発表した。

これは10月2日に、同社のパソコンにて不審な挙動を検知し、三菱重工と連携して調査を行ったところ、翌10月3日にかけて複数のサーバとパソコンから外部に不正通信があることが判明したというもの。

同社で通信ログ等の解析を行ったところ、9月7日に攻撃者はMSPを経由し同社のサーバ1台に不正アクセスしマルウェアを感染させ、9月11日まで同社内のネットワークを偵察、9月11日に攻撃者が感染拡大活動を開始、9月12日に攻撃者による不正アクセスの痕跡が途絶え9月20日まで攻撃活動が停止、9月21日に攻撃を再開し、更なる感染活動を開始、9月22日には攻撃起点を同社サーバから同社グループ会社のサーバに移動した。

同社では10月2日から3日にかけて、影響端末を特定し社内ネットワークから遮断、更に外部不正通信先を特定し同社グループからの通信を遮断、10月7日には攻撃者の侵入経路をMSPと特定し、関連機器・通信を遮断し封じ込め作業を完了した。

同社によると、影響範囲は同社および同社のグループ会社に限定され、流出した主な情報は、サーバ設定情報やアカウント情報、認証処理プロセスのメモリダンプ等のIT関連情報であることを確認済みで、機微な情報や機密性の高い技術情報、取引先に係る重要な情報、個人情報の流出は無い。

同社ではサーバの初期感染の原因は、MSPが提供するソフトウェアの脆弱性で、当該脆弱性は未公開かつ修正プログラム適用等の対処策が未確立であったため、同社が三菱重工と連携し当該ソフトウェアの使用を停止させた。また、社内にて短期間に感染が拡大したのは、MSPが所管するUNIXサーバと同社ネットワークとの間にファイアウォールが存在せず、通信を最小限に制限できていなかったことが原因で、現在は三菱重工と連携の上でMSPをはじめとするパートナー企業との接続箇所を対象に、適切なファイアウォールの設置を点検済み。さらに、早期に攻撃を検知するためサーバの監視機能を強化している。

同社では今後、三菱重工と連携し社内の監視体制等を一層強化することにより再発防止に努めるとのこと。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×