中国ハッカーに握られた社内PC 特命チーム暗闘の全貌
今年1月に朝日新聞の報道で明らかになった三菱電機へのサイバー攻撃では、防衛に関する機密や個人情報が流出していたことが分かった。三菱電機は2月に事実関係を公表し、攻撃の概要が見えてきた。ただ、そこには触れられていない事実がいくつもある。
その後の関係者への取材などで得た情報と合わせ、中国系ハッカー集団が仕掛けたとされる高度なサイバー攻撃の全体像を詳報する。
書き換えられた実行ファイル
最初の「異変」を捉えたのは、人工衛星や航空、レーダーシステム、防衛などの情報通信技術を研究する同社の中枢にある1台のパソコン(PC)だった。
2019年6月28日午後4時45分、神奈川県鎌倉市にある三菱電機の情報技術総合研究所で、PCにインストールされていたウイルス対策ソフト「ウイルスバスター」が不審なファイルの挙動を検知した。
その内容とは、ウェブブラウザーのグーグルクロームと同じ名前の実行ファイルが、本来は存在しないはずの場所(C:¥ProgramData¥chrome.exe)で作動した、というものだった。
社内でファイルを調べると、サイズも中身もクロームとは全くの別物。クロームの名前に書き換えられた「何か」だった。
三菱電機には、サイバー攻撃の兆候が見つかると調査と対策に乗り出す専門のチームが存在する。「CSIRT(Computer Security Incident Response Team=シーサート)」と呼ばれ、世界の大手企業や行政機関を中心に即応体制の強化を目的にこうしたチームが相次いでつくられている。
三菱電機シーサートのメンバーは、ウイルスバスターの開発元である情報セキュリティー大手トレンドマイクロに不審なファイルを送り、解析を依頼した。
ところが、解析結果は「異常なし」。ファイルの実体は、ウィンドウズに元々インストールされているコマンド実行プログラム(Powershell.exe)だったというのだ。
そのプログラムがなぜ、クロームの名前に書き換えられ、本来と異なる場所に存在し、実行されようとしていたのか。
セキュリティー会社が見逃したもの
「これが正常なわけないだろう!」
シーサートのメンバーは、トレンド社の見解を受け、独自に調査することを決めた。この判断が、三菱電機始まって以来という大規模なサイバー攻撃を見つけ出すきっかけにつながった。
サイバー攻撃を受けたかどうかを調べるには、パソコンの挙動やネットワークへのアクセス手順を記録した「ログ」を追跡するのが基本だ。これにより、不審なファイルがいつ作成され、何をしようとしていたのか、時系列でつぶさに追うことができる。時には数億件単位のログを追う、根気のいる作業でもある。
作業の結果、不審なファイルが見つかった10日後の7月8日、過程の一端がおぼろげながら見えてきた。
同じ研究所内にある別のPCが、外部から何者かに操られていた痕跡が見つかった。それは最初に不審なファイルが見つかったPCにアクセスし、7月1日にはまた別のPCを経由して、所内にある4台のサーバーにアクセスしていたことが判明した。
外部から不正アクセスを受けたのは間違いなかった。ただ、いずれのPCからも、この段階でウイルスを見つけることができなかった。後に判明するが、ハッカーは当時、これまでにない最先端の攻撃手法を使っていた。
ハッカーとの知恵比べが始まった。
大規模な攻撃を仕掛けたハッカーの痕跡を丹念にたどった三菱電機の専門チーム。不正アクセスの被害は彼らの予測をはるかに超えたものでした。ハッカーが社内を掌握していった過程を会社は公表していませんが、その全容が取材で明らかになりました。
■「妙案」で対抗…