川崎重工は7月30日、昨年12月に公表した第三者による不正アクセスについて、その調査結果を発表した。
川崎重工は昨年12月、社外から不正アクセスを受け、詳細な調査の結果、一部の情報が海外拠点から外部に流出した可能性があること、また、同時点において社内からの情報流出に関しては、特定できた事実はないが、不正アクセスの範囲が複数の国内・海外拠点であるため公表までに時間を要したこと等を公表。
昨年6月11日、社内のシステム監査で発見された不正アクセスは、本来発生しないはずの海外拠点(タイ)からの接続に始まり、以降、他の海外拠点(インドネシア、フィリピン、米国)を経由した断続的な事案も発生。川崎重工では、発見次第アクセスを遮断し、その後も全社的なセキュリティ対策強化を継続的に実施するなど、対策を行ってきた(昨年12月28日公表)。
川崎重工は、これら不正アクセスについて、国内外の全事業拠点で、外部専門機関との特別プロジェクトチームによる高度な専門調査を進めてきたが、今回、グループ外に情報が流出した可能性を確認。不正アクセスの範囲・種類を特定すると共に対策を講じ、情報流出の可能性がある顧客に対して、調査結果を報告した。
なお、現在まで顧客および取引先に関する具体的な被害は確認されていないと云う。
[調査結果] (※1)
(1)マルウエア調査(※2)
グループの主要国内拠点および侵害を確認した海外拠点のPC、サーバ(約29,000台)のマルウエア調査を実施し、海外拠点においてはマルウエア除去による正常化を、国内拠点にはマルウエアが侵入していないことを確認した。
(2)フォレンジック分析(※3)
通信量が多いPC、サーバ(約6,700台)を抽出し、侵害の痕跡を調査した結果、不正アクセスを受けた可能性のある国内外拠点のサーバ(合計36台)を特定。また、これらサーバに詳細なフォレンジック分析を行い、うち15台のサーバに不審な暗号化ファイルがあったことが判明した。
さらに暗号化ファイルに含まれる可能性がある情報を絞り込み、その情報に関係する顧客に対して、分析結果の報告を行った。
(3)通信ログ調査
通信ログを調査した結果、タイ、インドネシア、米国の拠点からインターネット上の不審なサーバに向けたデータ送信を確認。情報流出の可能性も確認したが、個人情報流出については、現時点では確認された事実はなかった。
<対策状況>
海外拠点と国内拠点間の通信管理の厳格化、データ交換プロセスの変更、認証基盤といった不正アクセス対策を実施した結果、現時点で新たな攻撃、被害は確認されていない。川崎重工では、さらに常時通信監視を継続し、特にリスクが高いと思われる国内外拠点については端末監視を強化、不正アクセスの検知体制を拡充した。
※1:顧客に関する具体的な情報や、不正アクセス対策の詳細な情報については、情報セキュリティ確保の観点から開示されていない。
※1:不正かつ有害な動作を行う意図で作成された悪意のあるソフトウエアや悪質なコードの総称。
※3:記録媒体に残された詳細なデータから、事故原因や犯罪の証拠を探し出す作業。
川崎重工では現在、再発防止に向け、国内外拠点間の通信ネットワーク監視とアクセス制御の厳格化を進め、不正アクセスをいち早く検知すると共に、迅速な被害範囲の特定と対応が可能となるプロセス強化や、人員増による体制強化と情報セキュリティの意識向上を目的とした社内教育を拡充。また、サイバーセキュリティ総括部を中心として、警察、関係省庁、セキュリティ専門会社等と連携し、グループ全体で最新の不正アクセス手法に対応したセキュリティ対策の強化を推進している。