(cache) 東京大学で発生したマルウェア感染についてまとめてみた

2015年7月16日、東京大学は学内端末がマルウェアに感染し、情報が漏えいした可能性について発表しました。ここでは関連情報についてまとめます。

公式発表

発表日	発表内容
2015年7月10日	【緊急】一部の利用者のパスワード変更について (魚拓)
2015年7月16日	東京大学への不正アクセスによる情報流出被害について (その他) (本部情報戦略課) (魚拓)
〃	教育用計算機システムの利用者の情報流出に関するお詫び (魚拓)
〃	サービス利用者の情報流出に関するお詫び(学内からのみアクセス可) (ecc.u-tokyo.ac.jp) （インターネットよりアクセス不可）

タイムライン

日付	出来事
2015年6月23日	東京大学管理部門の部署宛に会議開催に関するメールが届く。
〃	東京大学へ不審メールが届いているとの連絡あり。
〃	東京大学職員がメールに添付されたマルウェアを開封し感染。
2015年6月30日	東京大学がメール管理サーバーの設定が変更されていたことを把握。
2015年7月10日	東京大学情報基盤センターが一部職員、学生のパスワードの強制変更を実施。
2015年7月16日	東京大学が不正アクセスによる情報漏えいの可能性について発表。

被害状況

マルウェア 感染の状況

感染場所	台数
東京大学学内の端末	1台

V感染端末はインシデント把握後の調査を受け不正なアクセスが確認されたことにより検出。
メールサーバーを管理する端末であった。

不正アクセスの状況

東京大学学内のメールサーバーが不正アクセスされた。

漏えいした可能性のある情報

不正アクセスを受けて漏えいした可能性のある情報は次の通り。

端末、及びサービスを提供するサーバー等に保存されていた情報が対象。
東京大学はこれら情報全てではなく一部といった表現をしている。
東京大学は発表時点で漏えいした情報の悪用等の二次被害を確認していない。*1
成績や住所は漏えい対象の情報に含まれていない。*2

対象者	漏えいした可能性のある情報	件数
平成25，26年度学部入学者平成24,25年度のシステム利用者（学生）	利用者ID 初期パスワード氏名学生証番号	約27,000件
平成24年度以降のシステム利用者（教職員）	初期パスワード所属・身分氏名学内連絡先	約4,500件
現在のシステム利用者（学生・教職員）	利用者ID 氏名学生証番号	約1,000件
サーバーの各部署管理担当者	ID 初期パスワード氏名学内連絡先	約3,800件

発端

感染した端末を通じて大学のメールサーバーの管理コンソール画面の設定が変更されていたため。

管理画面の設定言語が日本語から中国語に変更されていた。*3

原因

東京大学職員がメールに添付されたマルウェアを開封したことによる。

メールが届いたのは所属部署宛。*4
メールの文面は実在する学内の会議が取り上げられていた。*5
詳細は添付ファイルを見て下さいと添付ファイルの開封を促す内容が記述されていた。
添付ファイルの題名は「会議変更」*6

添付ファイルは「会議変更0617(水).exe」？

「会議変更0617(水).exe」といったファイル名がついたEXEファイルがVTでスキャンされていることを確認した。

検出名からこのEXEファイルはPlugX系のマルウェアと推定される。
解析レポートによればWordのアイコンが偽装して使われている。

ファイル名	種類	SHA265(VTリンク)
会議変更0617(水).exe MarkdownPad.exe	PlugX	1ba4f8d569dafdf2c0152d706fc9cc3d6eb646e8ea639c410c8f95e07bc2551e

レポートで確認された通信先は次の通り。(手元で確認できていないため、これ以外の通信が発生する可能性があります。)

通信先ドメイン	IPアドレス	Port
img.microtoo\.com	138.128.207.200	443

取り急ぎ、"MarkdownPad.exe" としてユーザフォルダにコピーが作成されスタートアップに登録されたところ。元の "会議変更0617(水).exe" は消えます。 pic.twitter.com/0DatINkgtR
— Neutral8x9eR (@0x009AD6_810) 2015, 7月 16

対応

対応日	対応内容
不明	感染端末をインターネットから遮断
2015年7月10日	漏えいが疑われるパスワードの強制変更*7
不明	警視庁へ被害相談