読者です 読者をやめる 読者になる 読者になる

Got Some \W+ech?

Could be Japanese. Could be English. Android, セキュリティ, 機械学習などをメインに、たまにポエムったり雑感記載したりします。

大陽日酸に対するサイバー攻撃についてまとめてみた

イントロ

  • 工場や医療現場で使われる酸素や窒素、二酸化炭素などを製造、販売する国内最大手の大陽日酸サイバー攻撃に合っていた模様。報道された2017/1/1には対応済みっぽい。

タイムライン

日時 出来事 備考
2015/11 最遅でもこの時点で侵入済み
2016/3/11 外部からの不正接続(海外?)を確認。ウイルス感染を確認。サイバー攻撃と認知
2016/3下旬 ウイルスを駆除
2016/4/28 警視庁に被害相談
2016/4/29 流出範囲(可能性)の特定
2017/1/1 公開報道。ホームページには未記載
2017/1/5 ホームページに公式発表公開。

攻撃の概要

ぱっと見、標的型攻撃っぽいところはある

攻撃の影響と成否

以下の事実が確認されている。

  • 管理者権限の奪取

  • システム内の情報が外部から見れる状態。600台に対して、外部から管理者権限によるログインが可能だった。

  • 情報の流出は未確認、1万人の社員情報が流出した可能性あり

武器化

Delivery

Exploit

Install

成功 -> 最終的に4種類のマルウェアに感染していたところから。

C&C

(2015年11月までに)成功 -> 外部からの管理者権限を使った遠隔操作で、システム内の大半にあたる6百数十台のサーバーに接続できる状態。サーバーの一つから2回にわたり外部と不正通信が発生。

データの破壊・盗難

成功(可能性が高い) -> グループ国内従業員ら11,105人分の個人情報(社名・氏名・職位・メアド)など内部情報を複数の圧縮ファイルにまとめていた痕跡。サーバーの一つから2回にわたり外部と不正通信が発生。

被害額

窃取された情報から、直接的な被害額は発生していない。 ちなみに株価(1/4)時点では下がるどころか上がってる。世間が気づいてないか、気づいてるけど大して重要視してないか、それともトランプ効果があるからか、これから下がるのか。 f:id:kengoscal:20170104110344p:plain

原因

対策

  • サイバー攻撃早期検知のための監視体制強化
  • 管理者権限の搾取対策今日か
  • 不正遠隔操作を某氏するための対策強化
  • 大陽日酸ではないが、窃取された社員情報を利用した標的型攻撃に気をつける必要はありそう。
  • 例えば「Title: [大陽日酸からの重要なお知らせ] Body: Hoge部長のFugaです。この度は云々カンヌン」みたいな。

所感

  • piyologはやすぎぃ! やっぱりpiyologはすごい。必ず1歩先をいかれている。
  • 後、具体的な数字(600台とか1万人の社員とかサーバ内情報とか)が出てて凄い。どこにあったんだろう 公開情報。
  • 2017/1/1に報道公開した意図は不明。
  • 株価への影響をみたい。1/4に要チェキ
  • これ以上、続報でなさそう。
  • 最初に報道したところが、次の報道も早いと考えたほうがいいかも?
  • JTBの時もそうだが、nikkeiは遅いかも。
  • "当社の生産設備制御系システムは、基本的には今回サイバー攻撃を受けた情報系ネットワークおよびインターネットとは接続されておらず、今後もサイバー攻撃の影響を受けないと考えます。" おっ、そうだな。
  • 警視庁公安部が不正アクセス容疑で操作...あっ(察し)

反省

更新内容

  • 2017/1/1: 初版
  • 2017/1/3: 多数のニュースサイトで取り上げられるも、新しい情報なし。ホームページへの記載もまだ。
  • 2017/1/4: 太陽日酸 -> 大陽日酸。ワロッシュ。どうりで検索も引っかからないはずやで。
  • 2017/1/5: ホームページ上で公式発表。

Ref

ガス大手にサイバー攻撃 警視庁が捜査 - 産経ニュース

ガス大手にサイバー攻撃 ウイルス感染、警視庁捜査 | どうしんウェブ/電子版(社会)

ガス大手にサイバー攻撃、管理者権限奪われる : 社会 : 読売新聞(YOMIURI ONLINE)

ガス大手にサイバー攻撃 | ロイター

http://www.tn-sanso.co.jp/jp/_documents/info_07830547.pdf

通信記録の保存不十分…サイバー攻撃調査できず : 社会 : 読売新聞(YOMIURI ONLINE)