中国の影、たどり着いた雑居ビル　三菱電機サイバー攻撃

編集委員・須藤龍也

2021年3月28日 23時48分

拡大する三菱電機の拠点に掲げられたロゴマーク

　三菱電機が26日、昨年11月に受けたサイバー攻撃についての調査結果を公表した。中国にある子会社への不正アクセスをきっかけに、三菱電機本社が保存する情報流出へとつながったという。昨年1月に朝日新聞の報道で明らかになった最初のサイバー攻撃と似た構図だ。

三菱電機に「隠密型」攻撃　再び被害、中国系ハッカーか

　2度目となる攻撃について取材を進めていった記者は、思いも寄らぬ場所へ取材に飛ぶことになった。話は今からちょうど4カ月前、11月23日にさかのぼる。

　記者はこの日、福岡空港にいた。取材に向かった先は、福岡県内にある会社だった。登記簿には「サーバー及び通信機器の販売、賃貸、設置及びメンテナンス」などとある。いわゆるサーバー事業者だ。

拡大するバスや電車を乗り継ぎ、サーバー事業者のもとへ向かった=福岡市

　この会社は通信事業者として総務省に届け出ており、会社の公式サイトらしきものもあった。あらかじめ、グーグルストリートビューで該当する本店所在地の建物をチェックした。古びた3階建ての雑居ビルが画面に表示された。

　ハッカーの痕跡を追って、なぜ福岡のサーバー事業者の名前が浮上したのか。それは、あるIPアドレス（ネット上の住所）の情報を知ったことがきっかけだった。

　このIPアドレスをめぐる経緯について、複数の関係者の証言をもとに、当時の様子を振り返る。

　昨年11月16日夕、三菱電機が使っている米マイクロソフト社のクラウドサービス「マイクロソフト365」に不正なログインが検出され、検知システムのアラートが鳴った。普段は社内ネットワークからしかアクセスがないはずの管理者アカウントに、中国国内に割り当てられた社外のIPアドレスからログインされたからだ。

テレワークが盲点？対策の上いく手口　2段階認証も突破

　記者が取材の過程で把握したのは、まさにハッカーが不正アクセスを仕掛けた決め手となる、このIPアドレスだった。

　不正アクセスを仕掛けたハッカーは、マイクロソフト365のサービスの一つで、社内情報の共有に使われる「シェアポイント」にアクセスした。

　そこで、社内ネットワークの管理や保守を担当する従業員の管理台帳ファイルをダウンロードしようとしていた。社内情報に幅広くアクセスできる権限を得ることで、情報を盗み取ろうとした狙いともうかがえた。

　社内調査では、このIPアドレスを通じた接続で、2人の社員のアカウントを使ったものも見つかった。いずれもマイクロソフト365の管理を任されていた社員だった。

　つまり、ハッカーは11月16日の不正アクセスより前に何らかの方法で社員のアカウント情報をあらかじめ手に入れ、攻撃を実行したと当時は考えられた。それが今回明らかとなった、中国の子会社への不正アクセスとみられた。

　三菱電機関係者によれば、被害を受けたのは中国・上海にある自動車機器の製造販売拠点だという。

拡大する昨年11月、三菱電機が再びサイバー攻撃に見舞われたことを朝日新聞デジタルで速報した

　三菱電機では、マイクロソフト365を利用するにあたって、従来のIDとパスワード認証に独自の認証システムを加えた「二段階認証」を採り入れていた。ところがハッカーは、この認証システムから発行された電子認証情報も手に入れ、管理者ユーザーになりすましていた。

　三菱電機はこのほかにも厳重なセキュリティー対策を講じていた。世界中の企業が導入するマイクロソフト365も、堅牢なセキュリティー対策を売りにする。それがいずれも突破され、ハッカーの手に落ちた。

　その要因は、コロナ禍に伴うテレワーク対策にあったと考えられた。テレワークの広がりを受け、それまで社内からしか利用できなかったマイクロソフト365に外部からもアクセスできるよう制限を一部緩めていた。そこに不正アクセスの「隙」が生じてしまった可能性がある。

　今回の一連の攻撃手法は、セキュリティー専門家の間でも「最も恐れるサイバー攻撃」とされる。正規のIDとパスワードを使い、真正面から堂々とログインしており、一見すると不正アクセスには見えないからだ。「ウイルスや機器の脆弱性（ぜいじゃくせい）を突いた攻撃は、痕跡が残るだけに手がかりがあり、その後の調査も楽だ」。当時、匿名で取材に応じた専門家はいう。

　これが不正検知を難しくし、4カ月の長きにわたる調査につながってしまった。26日に公表したプレスリリースには「正常な利用を含む多くのログの中から不正アクセスを探索する必要があった」と、調査の難しさを説明している。

拡大する三菱電機が26日に発表した、サイバー攻撃についての調査結果を伝えるプレスリリース