piyolog

富山大学 水素同位体科学研究センターへの不正アクセスについてまとめてみた

インシデントまとめ | 23:36 |

2016年10月10日、富山大学 研究推進機構 水素同位体科学研究センターで標的型攻撃による情報漏えいが発生したと読売新聞が報じました。富山大学は同日にこの報道を認める発表を行っています。ここでは関連情報をまとめます。

富山大学の公式発表

• 2016年10月10日 「富山大学水素同位体科学研究センター」における標的型サイバー攻撃に関する報道について (魚拓)
• 2016年10月11日 富山大学水素同位体科学研究センターに対する標的型サイバー攻撃について (魚拓)
  • [PDF] (別紙) 富山大学水素同位体科学研究センターに対する標的型サイバー攻撃について（概要）

インシデントタイムライン

インシデント発覚前

日付	出来事
2015年11月5日	富山大学に不審なメールが届く。(1回目)
2015年11月17日	富山大学に不審なメールが届く。(2回目)
2015年11月24日	教授と非常勤職員に標的型攻撃メールが届く。
同日	非常勤職員のPCがマルウェアに感染。
2015年11月24日～2016年6月14日	感染端末が4か所の外部サーバーと通信。
2016年11月26日～2016年2月29日	何者かにより少なくとも1千以上の圧縮ファイルが作成される。
2016年3月10日	何者かにより新たな圧縮ファイルが作成される。
2016年6月14日	外部機関から不審な通信が発生しているとの通報。

インシデント発覚後

日付	出来事
2016年6月14日	富山大学がインシデント発生を把握。
同日	富山大学が通信ログの解析(学内調査)を開始。
2016年6月16日	富山大学が文部科学省に事案概要の報告。(第一報)
同日	富山大学が感染端末内の保有情報の調査、分析を開始。
2016年6月27日	通信ログの解析(学内調査)が終了。
同日	富山大学が文部科学省に追加情報を報告。(第二報)
2016年7月6日	外部専門業者による詳細な解析作業が開始。
2016年8月3日	富山大学が感染端末の分析作業を終了。
2016年8月31日	富山大学が外部専門業者かｒ調査結果の報告を受領。
同日	富山大学が漏えいした情報の内容を確認、評価。
2016年9月27日	富山大学が文部科学省へ調査状況を報告。
2016年10月7日	読売新聞が富山大学へ当該事案に関する取材。
同日	漏えいした可能性のある関係者に被害連絡を開始。
2016年10月10日	読売新聞が富山大学の情報漏えいについて報道。
同日	富山大学が報道記事の内容を認める内容の掲載。
2016年10月11日	富山大学が事案の概要を発表。
時期不明	富山大学が警察へ相談。
時期不明	文部科学省が富山大学に影響調査をするよう要請。

被害状況

被害を受けたのは富山大学 研究推進機構 水素同位体科学研究センター

• 水素同位体科学研究センター

次の情報が漏えいした可能性がある。

• 東京電力福島第一原発の汚染水の放射性物質除去方法に関する研究成果
• 共同研究する公的機関、企業等の関係者の個人情報 1492名 *1

感染端末に含まれていた情報

感染した端末には次の情報が含まれていた。

• 1994年～2016年6月13日までの電子データが保存されていた。
• 全ファイルの内、展開できたファイルは41,706個。漏えいの可能性がある情報はこの展開済みファイルを精査、確認したもの。

項目	個数、サイズ
全フォルダー数	7,034個
全ファイル数	59,138個
総データ容量	40.2GB

研究成果は既に発表済みかその予定のデータ

• 富山大学によれば漏えいした可能性のある研究成果は学会等で既に発表済み、または発表予定のもので、機密情報には該当しない。

次の項目が該当する。

• 外部資金申請関係の情報
• 学会発表の情報
• 実験データ等の研究に関する情報

漏えいした個人情報の内訳

1,492名分の内訳は次の通り。

項目	人数
富山大学学生	15人
他大学及び試験研究機関所属	1,316人
企業(企業の研究所を含む)	52人
官公庁関係	3人
その他	106人

漏えいした可能性のある個人情報の項目

報道によれば少なくとも次の項目が漏えいした可能性がある。*2 また、漏えいした可能性のある情報が悪用されたとの報告は現時点でない。*3

• 氏名
• 住所
• メールアドレス

圧縮ファイルが作成されていた

複数の圧縮ファイルが確認されている。

圧縮ファイル	作成時期	内容
少なくとも1千以上の圧縮ファイルが作成されていた痕跡	2015年11月～12月末*4	暗号化されており内容は確認できていない。
別方式で圧縮されたファイル	2016年3月頃	汚染水除去方法などの研究成果が含まれていた。

• 圧縮ファイルは攻撃者によって作成されたものとみられている。
• 大量のデータ通信発生時期と圧縮ファイルの作成時期が近い。*5
• ファイル容量の大きさより、感染したPCに保存されていたすべての情報が圧縮ファイルにまとめられた可能性がある。
• 「IAEA」というキーワードを用いて検索を行っていた形跡が確認されている。

漏えいした恐れのあるファイル名の一部

次のファイル名を含むデータが漏えいした恐れがある。*6

• 核融合科学研究所　双方向型共同研究（ＱＵＥＳＴ）
• 共同研究者全員の報告書
• 核融合研共同研究
• 原子力学会関係
• 室内曝露関係
• トリチウム国際会議
• 熱量率測定
• 実験データ
• 元データ

原因

• センター非常勤職員へ届いた標的型攻撃メールの添付ファイルを開封したことにより、同職員のPCがマルウェアに感染したため。

発端

• 外部機関より、「不審な通信が発生している」との通報を受けたことによる。

インシデントへの対処状況

• 文部科学省へ概要報告 *7
• 内部調査の実施
• 警察への相談 *8
• 情報漏えいの可能性のある関係者への連絡

標的型攻撃メールの関連情報

届いたメールの内容

報道によれば次のメールが届いたとされる。*9

• 送信元は東京の有名私立大学の学生を名乗っていた。
• 以前学会で出会った学生であると自己紹介。
• 自分が今研究していることで質問があるといった内容。
• 詳細は添付ファイルを確認してくれと誘導。

文面一部個所は不自然な日本語

文中には一部不自然な点が存在していた模様。報じられていたものは次の通り。

• 「尊敬していた先生」⇒「尊敬に思ってた先生」
• 「プロジェクト」⇒「プロゼックト」

次の内容で送信された可能性がある。

こんにちは、先生。

前回の学会でお目にかかった〇〇と申します。

学会では短い時間お話ししただけですが、ずっと尊敬に思っていた先生にお会いすることができてすごく嬉しかったです。

実は、僕が今研究しているプロゼックトに関して少しお伺いしたいことがありまして失礼ながらもメールお送りします。

詳細な質問は添付いたします。

この分野に詳しい先生から僕のプロゼックトについてご意見を伺いできればこれからの研究に大きな力になると思います。

お忙しいなか、突然のメールで申し訳ございませんが、何卒よろしくお願いいたします。

ありがとうございます。

早稲田大学　〇〇〇〇〇

〇〇〇〇〇@yahoo.co.jp

標的型攻撃メールの送信先は2名

報道によれば標的型攻撃メールが届いたセンター関係者は2名。

標的型攻撃メールの送信先	開封状況
センターの教授	開封せず
トリチウム理工学専門の非常勤職員	開封し感染

感染した非常勤職員は外部からの指摘を受けるまで異変に気付かなかった模様。

スタッフのメールアドレスは公開されている

同センターのスタッフ一覧には教授、講師をはじめスタッフの連絡先が掲載されている。

• スタッフ一覧

ここにはメールアドレスも掲載されていた。画像は例として阿部センター長の掲載情報。

マルウェアの関連情報

• 感染したPCは1台が確認されている。
• マルウェアは遠隔操作が可能なタイプ。

関連記事

• 富山大学 水素同位体科学研究センターへの攻撃に利用された通信先調査メモ
• ウイルス付き迷惑メール事例 添付ファイルdocument.zip

不審な通信先の関連情報

• 不審な通信先(外部サーバー)は全部で4か所が確認されている。
• そのうち2か所と大量のデータ通信が発生しており、ここから情報が漏えいした可能性が疑われている。

接続期間	ドメイン	確認できたIPアドレス	補足情報
2015年11月24日～2016年4月29日	supportservice247.com	216.158.85.49 209.99.40.222 209.99.40.223	なし
2015年11月26日～2016年2月29日	requestword.com	204.14.121.60 69.30.214.166 209.99.40.222 209.99.40.223	1個2MBのRAR形式ファイル1,000個以上の作成及び削除の痕跡あり。 同時間帯に大量データ(8GB以上)の通信発生。
2016年2月29日～2016年6月14日	enewsdatabank.com	182.173.76.130	ZIP形式のファイルを作成。 同時間帯に大量データの通信発生。
2016年4月28日、2016年6月14日	housemarket21.com	182.239.43.88 205.164.14.72	なし

不審な通信先はJPCERT/CCの解析記事に掲載されていた

JPCERT/CCが分析センターだよりにて、6月23日にAsruexの分析記事を掲載しており、Appendixの通信先一覧に富山大学が把握した通信先２つが含まれていた。

• ショートカットファイルから感染するマルウエアAsruex (魚拓)

　vodsx.net
　office365-file.com
　service365-team.com
　datainfocentre.com
　eworldmagazine.org
　supportservice247.com
　seminarinfocenter.net
　vdswx.net
　housemarket21.com
　product-report24.com
　requestpg.net
　secu-docu.net
　send-error.net
　send-form.net
　wzixx.net
　login-confirm.com
　2.gp
　2.ly
　online-dropbox.com
　sendspaces.net
　institute-secu.org
　pb.media-total.org
　response-server.com
　enewscenters.com
　sbidnest.com
　servicemain.com

またSymantecのWriteupでもこの通信先の存在を確認できる。

• Trojan.Asruex

不審な通信先にアクセスすると1個を除いて「58.158.177.102」に接続し、既に無害化されているのか「sinkhole」と表示される。なお、このIPアドレスは日本。

2016年5月に入ってすぐ接続できなくなり、一月ほどたった6月中旬にIPアドレスが変更された模様。

更新履歴

• 2016年10月11日 AM 新規作成
• 2016年10月12日 AM 続報追記
• 2016年10月12日 AM JPCERT/CCの通信先リストに「4つすべてが含まれている」と記載していたが含まれていたのは2つだけであったため訂正。
• 2016年10月14日 PM 続報追記 (読売新聞の記事反映)