piyolog

原子力安全基盤機構のウィルス感染事案をまとめてみた。

インシデントまとめ | 00:21 |

原子力安全基盤機構(以下JNESと表記)が2012年5月2日付で発表したウィルス感染事案について、JNESの発表、及びメディアの報道情報を元に概要をまとめます。

概要

JNESが5月2日付で、機構内の端末がウィルスに感染し、外部サイトとの通信が行われていたことが5月1日に判明したことを発表しました。*1以下はJNESが5月2日付で発表した情報の引用です。

平成24年5月1日、独立行政法人 原子力安全基盤機構のパーソナルコンピュータがマルウェアに感染し、外部のサイトと通信を行っている可能性について、外部機関から連絡がありました。

調査の結果、5台のコンピュータから、外部サイトへの使用者の意図しない通信が行われていることが確認されたため、速やかに該当サイトへの通信を遮断する措置を取りました。

今のところ、資料等の流出は確認されておりませんが、今後、本事象が発生した原因等について、詳細に調査を行うこととしており、外部の専門家と共同で調査・対応を進めてまいります。

http://www.jnes.go.jp/content/000122587.pdf

また6月11日付でJNESは続報として、5月2日付で報告された5台を含む合計19台において外部への通信を行っている端末が確認されたこと、並びにそれらへの対処内容と再発防止策について発表しました。*2

• 被害状況
  • 感染場所 JNES内端末
  • 感染台数 19台(5/2に5台、6/11にさらに14台が追加された)
  • 5/2に発表された5台は統括参事、技術顧問、原子力施設の検査部門の3部門の職員の端末
  • 5台のPCから流出した可能性のある情報
    • 機構のファイルサーバに格納されていた203ファイル
    • ファイルは紙をPDF化したものでA4 約1000枚相当。
    • 原子力安全保安院の緊急時対応センターが報道等で保有していた資料
      福島第一原発事故から2ヶ月以降の原子炉の温度や水位、圧力データ、放射性物質の拡散状況を記録した資料。
    • 福島第二原発と女川原発の情報
    • 電力会社社員53名の名前、勤務先、電話番号を含む個人情報
    • 機微情報(核物質防護情報等)は含まれていない。
  • 感染したウィルス　詳細不明(2011年1月までには作成され、かつ2012年5月時点で検知されていない)
  • 感染原因 2011年1月に受けた標的型メール攻撃により感染したと考えられる。

• 標的型メール攻撃に関する情報
  • 非公開。

• ウィルスの挙動
  • 1回あたり(この回数の示す具体的な内容は不明)200バイトの情報を送信。
  • 送信先 米国内のサーバー

• 感染把握後のJNESの対応
  • 感染が確認された19台のネットワークからの切り離し
  • 24時間での監視体制を構築
  • 複数のウィルス対策ソフトを用いた定期的なPCスキャンの実施
  • 5月2日時点では警視庁への被害届を出すとの報道があったが、6月11日付の発表では特に被害届については触れられていない。

時系列まとめ

• 2011/01
  • 機構内の業務用PC1台がウィルスに感染。標的型メール攻撃による感染と推測される。当該感染端末を通じて感染が拡大。
• 2011/03中旬-07中旬
  • 機構内PCを通じてファイルサーバー内の資料(PDF)が外部へ送信された可能性。
• 2012/05/01 18時頃
  • インターネット通信の調査会社*3より勝手に通信が行われていると通報。
• 2012/05/02
  • 5台のPCがウィルスに感染し、2012/04/11から1000回にわたって外部にデータを送信していたと発表。
• 2012/06/11
  • 続報として調査結果、再発防止策を発表。5/2発表時の5台を含む合計19台がウィルスに感染していたことも併せて発表。

　

更新履歴

※更新履歴は魚拓を参照。

06/11 PM 新規作成

06/12 PM 誤植や流出原因について追記。

※ 概要をまとめるにあたり参考にした報道情報 *4 *5 *6 *7 *8 *9 *10

ツイートする