朝日新聞は2020年1月20日、電気メーカーの三菱電機の本社や主要な拠点のパソコン120台超やサーバ40台超が不正アクセスを受け、情報流出の可能性があると報じました。1
三菱電機は不正アクセスの手口などから、防衛関連の機密情報を主に狙う中国系のサイバー攻撃集団「Tick(ティック)」(別名BRONZE BUTLER)が関与した可能性があるとみているという。その被害としては自社の情報に加え、防衛省、環境省、内閣府、原子力規制委員会、資源エネルギー庁など10を超える官公庁や政府機関、電力、通信、JR・私鉄、自動車の大手を中心に少なくとも数十社の国内外の民間企業に関する様々な情報が不アクセスを受けたとのことです。
朝日の記事によれば、三菱電機が社外からの不正アクセスの疑いに気づいたのは昨年6月下旬。情報技術総合研究所(神奈川県鎌倉市)のサーバーで不審なファイルの動作を検知したのが端緒だったとみられています。
三菱電機へのサイバー攻撃は、中国にある関係会社から発生したサプライチェーン型によるものと見られます。三菱電機は強固なセキュリティシステムを有していたものと見られますが、攻撃者は相対的に脆弱な関係企業に攻撃を仕掛け、三菱電機の社内ネットワーク侵入。中間管理職層を中心とした、機密情報にアクセスできるパソコンへ複数の不正アクセスを敢行し、情報を外部への送信用端末に集め、複数回にわたり送信していたものと見られます。
「Tick」は10年以上にわたり活動している集団で、2008年から追跡調査を行っているトレンドマイクロによると、2018年11月から活動が活発化しているとのこと。2019年に入ってからの動きは「Operation ENDTRADE」と名付けられており、軍事機密や先端技術情報の窃取を狙って動いていることが確認されています。2 シマンテックも「Tick」を注視しており、同社では2015年にも「Tick」 グループによる攻撃の波を発見していました。3 20日午前の菅官房長官の会見では、三菱電気に対するサイバー攻撃については、経済産業省を中心に政府としても注視していく考えを表明。4
同社が端末の不審な挙動を認識したのは2019年6月28日、約半年経ってからというあまりにも遅い公表、そして詳しい説明が行われるかは現時点では不明ですが、他企業が防衛に役立てられるよう、被害の手口を可能な限り速やかに公表すべきでしょう。
