「この攻撃は中国とは別のグループからと思われます。マルウエア(悪意のあるプログラム)の特徴が違っています。このキャンペーン(関連性のある一連の攻撃活動)では最近、大学とメディアを狙っていると分析しています」――。
2016年10月10日朝、あるセキュリティ技術者からこんなメールが届いた。3連休の3日目、すっかり気が抜けて遅めの朝を過ごしていた筆者には、何のことか分からなかった。
この日、読売新聞が朝刊1面で富山大学がサイバー攻撃の被害に遭ったニュースを報じていた。三重水素(トリチウム)など放射性物質を研究する同大の水素同位体科学研究センターが2015年11月に標的型攻撃に遭い、東京電力福島第一原発の汚染水処理に関する研究成果や約1490人分の個人情報などが外部流出した恐れがある、というものだ。攻撃者は1000個以上の圧縮ファイルを作り、外部と大量のデータを通信したとした。
10日、富山大はWebサイト上で感染の事実を認め、翌11日に事案の概要を公開した。同大の遠藤俊郎学長は「今回このような事態が発生したことは、極めて重大な問題であると受け止めております。関係機関、国民の皆様に、大きな御心配、御迷惑をおかけいたしましたことにつきまして、深くお詫び申し上げます」と謝罪。漏れた可能性のある研究成果は、発表済みで公知であったり公開を前提としたりする情報であるため、「機密情報に該当しない」という認識だ。
一大学の対応として「立派」
攻撃には遭ったが、公開された資料は2ページながら内容は濃い。大学で解析し、専門業者で詳細に解析し、さらに文部科学省への報告も済んでいた上での報道だったからこそ、濃い内容の報告書を素早く開示できたとも考えられるものの、感染PCが通信した四つの外部サーバーの名前を公表しているのは珍しい。
「一大学の対応としては立派」。セキュリティ業界のご意見番、ラックの西本逸郎取締役専務執行役員CTO(最高技術責任者)技術戦略担当兼CISO(最高情報セキュリティ担当者)は公表資料を読んで、同大の対応をこう評価する。ポイントは「フォレンジック(デジタル鑑識)を1台だけ実施しているように読めるところ」という。
標的型攻撃では1台の感染をきっかけに、外部から攻撃者が感染PCを操作して、どんどんと感染を広げるのが常だ。だが報告書からは1台を解析していると読める。