サイバー攻撃の一種で、パソコンのディスクに不正プログラムが残らない「ファイルレス攻撃」が増えている。
三菱電機を襲った攻撃もこのタイプで、防衛省関連の情報が流出した可能性がある。
従来のウイルス対策ソフトウエアでは検出が難しく、企業を揺さぶっている。
外部から操作されているかもしれない――。三菱電機の社員が異変に気づいたのは、2019年6月28日だった。
国内拠点でのことで、パソコンの基本ソフト「ウィンドウズ」の機能の名前が書き換えられていた。
三菱電機は、国内外グループの社内ネットワークを構成している端末やサーバー24万5千台を調べた。
結果、国内87台、中国45台に感染の疑いがあると判明した。
▼ファイルレス攻撃 一般に、パソコンの計算部品であるメモリー上で動く不正プログラムによって、情報を抜き取る手口を指す。
基本ソフト「ウィンドウズ」の一部機能を悪用する。従来のウイルスと違い、ハードディスクにはファイルとして保存されない。
ウイルス対策ソフトウエアの多くは、ハードディスク内の不審なファイルについて、既知のウイルスを記したブラックリストと照合して探す。
このためファイルレス攻撃はほとんど検出できない。
「いつ感染したんだ」。急いで感染した端末や通信記録をたどっていくうち、3カ月前の中国にたどりついた。
3月18日、同国の拠点にあるサーバーが外部から攻撃を受けていた。
ここが情報を抜き取るための拠点となり、不正プログラムが他のパソコンへ散らばった。
このときの手口がファイルレス攻撃だった。
「ファイルレス型」攻撃、企業揺さぶる 三菱電機も被害
https://www.nikkei.com/article/DGXMZO55672360U0A210C2EA2000/
