(cache) 衆議院がサイバー攻撃を受けたらしいので記事をまとめてみた。

10/25付で朝日新聞が報じた衆議院へのサイバー攻撃について記事をまとめました。概要欄は報道されている情報を横断的にまとめています。また、記載内容は随時更新します。過去の記載内容はウェブ魚拓を確認ください。

概要

衆議院議員の公務用PC、衆議院のサーバーでウィルス感染が確認され、衆議院ネットワーク利用者のID、パスワードが盗まれた可能性があります。

ウィルス感染状況*1 *2 *3
- 32台のマシンで感染の可能性(合計33台という報道も)
  - 添付ファイルを開き感染した公務マシン 1台
  - 感染したサーバー 2台(どういった用途のサーバーかは不明)
  - 運用管理端末 2台
  - 外部サイトへ接続試行の形跡を確認した公務PC 25台*4
  - その他感染が疑われるサーバー 2台

送付された標的型メール*5 *6
- 送付対象者　3人（具体的な送付対象者名は不明）
- 送付元メールアドレス　syoutenn_aguri@aol.jp
- 差出人名　週刊焦点安栗弘子(あぐり・ひろこ) 記者名を騙ったもの
- 添付ファイル名　Photo.zip
- 件名　お願い事
- 本文　最新号の週刊誌にあなたの顔写真を掲載することになりますがよろしいですか。

悪用、盗用されたID,パスワード*7 *8
- 議員、秘書、職員、管理者 2,676人分
- ID、パスワードはウィルス拡散用に利用
- 感染した公務PCで複数の議員のID,パスワードを保存したファイルを発見*9

攻撃経路
- 1. 衆議院議員三人のメールアドレスへ標的型メールが送付。
  　　圧縮ファイルに偽装したトロイの木馬型の不正プログラムが添付。
- 2. その内一人が偽装ファイルを誤って実行し感染。
  　　中国国内のサイトへ強制接続。該当端末へさらに不正プログラムをダウンロード。
- 3. 感染端末を踏み台にネットワーク上の他の端末のID、パスワードを取得。
  　　(盗み出した方法やID、パスワードが公務PC自体のものか、衆議院立法情報システムのものなのかは不明)
- 4. 何らかの方法で管理者のID,パスワードも取得し、その権限を用いて他端末やサーバーを遠隔操作。
- 5. サーバー上の情報を外部から閲覧可能な状態に変更。

不正プログラムの機能*10
- キーロガー
- ドロッパー
- リモート操作・ダウンローダー(接続先は3サイトある*11が、非公開 *12 )
- ステガノグラフィ(画像埋め込み)によるコマンド実行
- 時間差によるジョブ実行

対策組織
　※本事案を受け設置された対策組織
- 衆院サーバ等ウィルス感染防止対策本部
  - 衆議院事務局、NISC、NTT東日本、ラックが参加。参院事務局CIO補佐官、警察庁(警備企画課長)がオブザーバー参加。
  - 事案解明班(原因や手口の調査)、対策樹立班(今後の防御強化策を検討)の２班構成。
- サイバーテロ対策本部
  - 民主党城島幹事長代理が本部長

現在の状況(2011/10/28現在)
- 感染端末・サーバーはネットワークから切り離され調査中*13
- 全衆議院議員へ公務PCのパスワードの変更依頼*14
- 警察庁が主体となって動いているが被害届が出されているかはまだ未確認。*15
- 衆院サーバ等ウィルス感染防止対策本部で11月上旬に最終報告書を提出することを決定*16

衆議院 LAN

公務PC 960台(2200台という報道も)
- NEC製PC(VersaPro?) Core2Duoモデル WindowsXP(報道の動画より推測)
- 衆議院議員の議員会館へ議員、公設秘書用として2台ずつ支給
- 経理情報や政局・後援者の機密情報、仕分け情報等が格納されている場合もある
運用管理端末 2台以上
サーバー複数台(議員、秘書、職員用に独立して設置されている)
- メールサーバー、認証サーバー?(IDとパスワードで本人確認をするサーバー)等の存在が確認されている
- 参議院系のサーバーとは独立して設置
衆議院立法情報ネットワークシステム
- Webインタフェースを採用(報道の動画より推測)
- 陳情情報の検索*17(報道の動画より推測)
- 議会事務資料が格納されており、PDFでダウンロードできる
- システムユーザー数約2660人
  - 衆議院議員約480人
  - 公設秘書約480人
  - 事務局職員約1700人
  - パスワードは3か月に1回定期的に変更要請がかかる
衆議院メールアドレス(Wikipediaより)
　g0000@shugiin.go.jp（議員本人用。「0000」の部分は4ケタの数字が入る）
　h0000@shugiin.go.jp（公設秘書用。上記に同じ
　公開されているアドレスはここ参考
衆議院 LANとは別にインターネットに直接接続する回線がある。議員の7割がその回線を利用している。*18

時系列まとめ

2011/07/25
- 衆議院議員3人へ標的型メールが送付。内一人が添付されたファイルを実行し感染。*19
2011/08(中旬)
- 管理者情報が盗み出されたとされる時期。
2011/08/23
- 攻撃者が衆議院の管理サーバーに侵入(痕跡を確認。) *20
2011/08/28(08/29という報道もあり*21 )
- 管理業者(NTT東日本)より「不正アクセスの痕跡がある」と衆議院事務局に通報。
- 夜、事務局がサーバーをチェックし感染が発覚。
- 感染経路を確認することにより、議員1名の端末が感染していることが発覚。
2011/08/31
- 衆議院事務局よりLACへ本事案の調査を依頼。
2011/09/08
- 公務PC 他2台で同種の標的型メール(送付元、サブジェクトが同じ)を受信していることを確認。それらはウィルス対策ソフトにより削除された模様。
2011/09/16
- 感染端末、サーバーのウィルス駆除対応(流出防止策)が完了。*22
2011/10/25
- 朝日新聞が朝刊一面で衆議院へのサイバー攻撃の事実を報道。
- 官房長官が記者会見の場にて、警察庁が主体で調査すること、そしてまだ被害届は出されていないと回答。
- 議院運営委員会庶務小委員会で攻撃事実の報告、及び「衆院サーバ等ウィルス感染防止対策本部」を設置することを決定。*23
- 民主党が「サイバーテロ対策本部」を編成することを決定。
2011/10/26
- 衆院サーバ等ウィルス感染防止対策本部初会合。28日にNTT東日本より詳細報告を受けることを決定。
- サイバーテロ対策本部初会合。党本部、支部の被害防止に向けたガイドライン作成を決定。(民主党サイト)
2011/10/27
- 議院運営委員会庶務小委員会において、衆院サーバー等ウィルス感染防止対策本部会合の報告。*24
2011/10/28
- 議院運営委員会庶務小委員会において、NTT東日本が調査状況を中間報告。