piyolog

総務省のウィルス感染事案をまとめてみた。

やってみた。 | 01:21 |

総務省が11月4日付で発表したウィルス感染事案について、報道情報を元に概要をまとめました。

概要

総務省が11月4日付でウィルス感染していた事実を発表しました。以下総務省の発表資料*1です。総務省からの情報流出等、具体的な被害については現在調査中であり、総務省内の端末約8000台すべてに対し、調査を行う*2予定です。

総務省は、一連のサイバー攻撃に対する報道を受け、詳細な調査を実施していたところ、総務省職員用の複数のパソコンが、トロイの木馬型ウイルスに感染していたことが、平成23年11月2日（水）に判明しました。現時点で判明している感染経路は、メールに添付されていたファイルを開封したことによるものでした。当該メールの件名は、「平成23年（2011年）東北地方太平洋沖地震（東日本大震災）について（平成23年7月26日 17:00）：緊急災害対策本部発表資料）」という、震災に関連する内容を騙ったものでした。

　

ウイルス感染したパソコンは、即日回収し、必要な措置を取りました。ウイルス感染による外部への情報流出等の影響については、現在調査中です。今後とも引き続き、関係機関と協力し、調査を進め、事実関係の把握に努めるとともに、このたびの事案を重く受け止め、さらなる情報セキュリティ強化に取り組んでまいります。

• 被害状況
  • 7/28の標的型攻撃メールを受け感染した端末 1台
    • 接続先 米国のサーバー(現在は閉鎖中) *3
  • その他感染した端末 22台(11/11の発表で1台追加)
    • 接続先 インド、台湾のサーバー等
  • 感染端末、感染が疑われる端末いずれもネットワークから隔離済み。
  • 地方局2箇所を含む約10部署の端末(サーバーへの感染は確認されていない*4 )
  • 感染者の半数近くは管理職*5

• 7/28の標的型攻撃に用いられたメール*6 *7
  • 送付先 確認されているのは1台
  • 送付元メールアドレス 匿名でも利用できるフリーメール
  • 差出人名 面識のある他省の実在する国家公務員の名前 *8 *9
  • 添付ファイル名 11/4現在不明。ファイル種別は圧縮ファイル。
  • 件名 「平成23年（2011年）東北地方太平洋沖地震（東日本大震災）について（平成23年7月26日 17:00）：緊急災害対策本部発表資料）」
  • 本文　(11/11 現在不明)

• 流出した可能性のある情報*10
  • 業務関連情報(仕事相手先の名刺画像等)
  • 職員と家族のプライベート情報
  • 流出したデータは合計2MB

• 添付されていたウィルス*11
  • 2〜4種類
  • 検体名は発表時点でベンダ呼称が未定のため未公表。
  • 接続回数は多いもので約150回*12
  • 情報を抜き取るタイプのウィルス(キーロガー?)は23台の内10台で確認。*13

時系列まとめ

• 2011/07/28
  • 標的型攻撃メールが午前中、総務省へ送付される。添付ファイルを開封し感染。*14
• 2011/09/13
  • NISCより、PC1台が米国へ接続を試行していると指摘。総務省で調査を行うが発見できず。*15
• 2011/10/25
  • 衆院ウィルス感染事案が報道。総務省もセキュリティー会社に調査を依頼。*16
• 2011/11/02
  • 総務省内でウィルス感染の事実を確認。
• 2011/11/04
  • 総務省がウィルス感染が確認されたと報道発表。
• 2011/11/12
  • 総務省がウィルス感染続報を発表。疑われていた端末とさらに1台増えて23台すべて感染していたことが明らかに。*17

更新履歴

※更新履歴は魚拓を参照。

11/05 AM 新規作成

11/12 PM 11/11続報発表関連の情報を追加

ツイートする