piyolog

参議院のウィルス感染事案をまとめてみた。

やってみた。 | 22:09 |

11/4付で「参院事務局が参院側の端末においても不正通信の痕跡が確認されたと発表」とメディアが報じました。*1なお、7/22,25の標的型メール攻撃に関するまとめはこちらに含めていません。

概要

• 被害状況
  • 漏えいした可能性のある情報
    • 議員のメールデータ 少なくとも2名(11/05)*2 → 13名(11/14)*3 → 全員?(11/21) *4
    • 全参議院議員、公設秘書、システム管理者のID,パスワード 合計約700件*5
  • 感染したマシン
    • 端末 3台(11/04)*6 → 10台超(11/11)*7 → 29台(11/15)*8
    • サーバー 感染なし(11/12)*9 → 2台(11/21)(ドメインコントローラ、ネットワーク監視) *10 *11
  • フリーメールアドレス(米国)宛へ勝手にメールを送信。*12 *13
  • 2011年8月〜9月にメールを受信し、そのメールを受けて感染。*14
  • 8月8日〜10月31日の間、中国とシンガポールのサイトへ接続。*15
  • サーバーへは8月〜10月中旬の間にウィルスに感染。*16

• 発覚した経緯
  • 11/2に7/22,25の事案を受け、衆議院の情報が米国のフリーメールアドレス宛に送信されていることが判明。*17
  • そのフリーメールの受信箱に7/22,25に標的型メール攻撃の送付を受けていない参議院議員2名の情報も存在していた。*18
  • これを受け、参議院事務局が参議院LANの接続履歴を調査したところ、11/4に一部端末で不正通信が行われていることを確認した。*19
  • 感染端末29台の内、5台を調査したところ、認証、監視を行っている2つのサーバーに対して不正アクセスの形跡を確認。サーバー2台もウィルスに感染していることが11/21確認された。*20

• 7/22,25に行われた標的型メール攻撃との関連性
  • 発信元、題名は異なる。*21
  • 添付されているマルウェアは異なる。 *22
  • 7/22,25の標的型メール攻撃でメール送付を受けた7台とは別。*23
  • 衆議院で感染した端末が接続していた3つのサイト(中国2つ、シンガポール1つ)の内、同じ接続先が2つ存在する。*24

• 事務局側の対応
  • 11/14 緊急対策として、全参議院議員に対し、端末内部に保管している重要データをUSBメモリへ移動*25することや、パスワードの変更*26を依頼。
  • 11/21 サーバーへの感染が確認されたため、該当サーバーのネットワークからの切断と他32台のサーバーの詳細な調査継続。*27
  • 11/28 参議院運営委員長から衆議院運営委員長へサイバー攻撃事案の情報共有が行われなかったことについて抗議。*28 *29
  • 12/04 参議院に既存の「情報化推進室」を拡充する形で情報セキュリティ専門部署を1月に設置することを決定。*30

• 参議院LAN
  • こちらのまとめ(参議院LAN)を参照。

時系列まとめ

• 2011/11/02
  • 衆議院事案で情報送信されているフリーメールの受信箱に参議院議員の情報もあり、調査を開始。
• 2011/11/04
  • 参議院事務局が複数の端末で不正通信の形跡があったと発表。
• 2011/11/14
  • 参議院事務局が本事案の中間調査状況を報告。
• 2011/11/21
  • 参議院事務局が認証、監視サーバーへの感染を確認し、全参議院議員のID,パスワードが流出した可能性があると発表。
• 2011/11/28
  • 参院運営委員長から衆院運営委員長へ情報共有が行われなかったことについて抗議。
• 2011/12/04
  • 参議院に情報セキュリティ専門部署を1月に設置することを発表。

更新履歴

※ 詳細は魚拓参照

• 11/19 PM 新規作成
• 11/20 AM 攻撃が発覚した経緯を追加
• 11/22 AM サーバー感染関連で更新
• 12/04 AM 抗議、専門部署設置関連で更新

ツイートする