三菱パワー株式会社は12月11日、同社のネットワークがマネージド・サービス・プロバイダ(MSP)を経由した第三者からの不正アクセスを確認したと発表した。
これは10月2日に、同社のパソコンにて不審な挙動を検知し、三菱重工と連携して調査を行ったところ、翌10月3日にかけて複数のサーバとパソコンから外部に不正通信があることが判明したというもの。
同社で通信ログ等の解析を行ったところ、9月7日に攻撃者はMSPを経由し同社のサーバ1台に不正アクセスしマルウェアを感染させ、9月11日まで同社内のネットワークを偵察、9月11日に攻撃者が感染拡大活動を開始、9月12日に攻撃者による不正アクセスの痕跡が途絶え9月20日まで攻撃活動が停止、9月21日に攻撃を再開し、更なる感染活動を開始、9月22日には攻撃起点を同社サーバから同社グループ会社のサーバに移動した。
同社では10月2日から3日にかけて、影響端末を特定し社内ネットワークから遮断、更に外部不正通信先を特定し同社グループからの通信を遮断、10月7日には攻撃者の侵入経路をMSPと特定し、関連機器・通信を遮断し封じ込め作業を完了した。
同社によると、影響範囲は同社および同社のグループ会社に限定され、流出した主な情報は、サーバ設定情報やアカウント情報、認証処理プロセスのメモリダンプ等のIT関連情報であることを確認済みで、機微な情報や機密性の高い技術情報、取引先に係る重要な情報、個人情報の流出は無い。
同社ではサーバの初期感染の原因は、MSPが提供するソフトウェアの脆弱性で、当該脆弱性は未公開かつ修正プログラム適用等の対処策が未確立であったため、同社が三菱重工と連携し当該ソフトウェアの使用を停止させた。また、社内にて短期間に感染が拡大したのは、MSPが所管するUNIXサーバと同社ネットワークとの間にファイアウォールが存在せず、通信を最小限に制限できていなかったことが原因で、現在は三菱重工と連携の上でMSPをはじめとするパートナー企業との接続箇所を対象に、適切なファイアウォールの設置を点検済み。さらに、早期に攻撃を検知するためサーバの監視機能を強化している。
同社では今後、三菱重工と連携し社内の監視体制等を一層強化することにより再発防止に努めるとのこと。
これは10月2日に、同社のパソコンにて不審な挙動を検知し、三菱重工と連携して調査を行ったところ、翌10月3日にかけて複数のサーバとパソコンから外部に不正通信があることが判明したというもの。
同社で通信ログ等の解析を行ったところ、9月7日に攻撃者はMSPを経由し同社のサーバ1台に不正アクセスしマルウェアを感染させ、9月11日まで同社内のネットワークを偵察、9月11日に攻撃者が感染拡大活動を開始、9月12日に攻撃者による不正アクセスの痕跡が途絶え9月20日まで攻撃活動が停止、9月21日に攻撃を再開し、更なる感染活動を開始、9月22日には攻撃起点を同社サーバから同社グループ会社のサーバに移動した。
同社では10月2日から3日にかけて、影響端末を特定し社内ネットワークから遮断、更に外部不正通信先を特定し同社グループからの通信を遮断、10月7日には攻撃者の侵入経路をMSPと特定し、関連機器・通信を遮断し封じ込め作業を完了した。
同社によると、影響範囲は同社および同社のグループ会社に限定され、流出した主な情報は、サーバ設定情報やアカウント情報、認証処理プロセスのメモリダンプ等のIT関連情報であることを確認済みで、機微な情報や機密性の高い技術情報、取引先に係る重要な情報、個人情報の流出は無い。
同社ではサーバの初期感染の原因は、MSPが提供するソフトウェアの脆弱性で、当該脆弱性は未公開かつ修正プログラム適用等の対処策が未確立であったため、同社が三菱重工と連携し当該ソフトウェアの使用を停止させた。また、社内にて短期間に感染が拡大したのは、MSPが所管するUNIXサーバと同社ネットワークとの間にファイアウォールが存在せず、通信を最小限に制限できていなかったことが原因で、現在は三菱重工と連携の上でMSPをはじめとするパートナー企業との接続箇所を対象に、適切なファイアウォールの設置を点検済み。さらに、早期に攻撃を検知するためサーバの監視機能を強化している。
同社では今後、三菱重工と連携し社内の監視体制等を一層強化することにより再発防止に努めるとのこと。
![NTTコミュニケーションズのインシデント、想起されるグループほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/31690.jpg)
