三菱電機へのサイバー攻撃と情報漏洩、発覚のきっかけは不審な「Chrome.exe」

　今年1月、三菱電機に対しサイバー攻撃が行われ情報が漏洩する事件が発生した（過去記事）。この事件についてはトレンドマイクロのセキュリティソフトの脆弱性が悪用されていたことも報じられているが、三菱電機のサイバー攻撃対策チームが攻撃を受けた際に見つかった不審なファイルをトレンドマイクロに送付して解析を依頼したところ、「異常なし」という回答を受けていたという話が報じられている（朝日新聞）。三菱電機の対策チームはこの回答を受け、独自に調査を行なった結果サイバー攻撃の痕跡を見つけ、情報漏洩が明らかになったそうだ。

　問題の不審なファイルの正体はWindowsのコンポーネントの1つである「powershell.exe」だったとのことで、特に改変などもされていなかったことからトレンドマイクロは「異常なし」と判断したという。ただ、このプログラムはファイル名が「chrome.exe」に書き換えられており、また本来存在しないはずの「C:\ProgramData」ディレクトリ内に隔離されていたという。このファイルは、トレンドマイクロの「ウイルスバスター」は不審なものとして検出したことで存在が発覚したそうだ。

　なお、このサイバー攻撃ではPowerShellに対し悪意のある命令を実行させるという手法が使われていたことが先に明らかになっている。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | ソフトウェア | インターネット

　関連ストーリー：
三菱電機、不正アクセスによる攻撃を受け情報漏洩 2020年01月20日
不正なコードをファイルに書き込むことなく実行するマルウェアが増加傾向 2020年01月30日
三菱電機に対する不正アクセス、同社が概要を公開 2020年02月17日
三菱電機を狙ったサイバー攻撃、トレンドマイクロのセキュリティソフトの脆弱性が悪用されていた 2020年01月23日