piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

衆議院がサイバー攻撃を受けたらしいので記事をまとめてみた。

10/25付で朝日新聞が報じた衆議院へのサイバー攻撃について記事をまとめました。概要欄は報道されている情報を横断的にまとめています。また、記載内容は随時更新します。過去の記載内容はウェブ魚拓を確認ください。また7/22,25の標的型メール攻撃以外の参議院事案は含めていません。

概要

衆議院議員の公務用PC、衆議院のサーバーでウィルス感染が確認され、衆議院ネットワーク利用者のID、パスワードが盗まれた可能性があります。
11/14に行われた最終調査結果報告*1を反映しました。反映箇所には*1をつけています。

  • 標的型メール攻撃を受けてウィルス感染した状況*2 *3 *4
    • 衆議院
      • 32台のマシンで感染*1
        • 添付ファイルを開き感染した公務マシン 1台
        • 感染した議員アカウントサーバー等 4台
        • 運用管理端末 2台
        • 外部サイトへ接続試行の形跡を確認した(三次感染した)公務PC 25台*5
    • 参議院
      • 感染PC、サーバー無し*6
  • 送付された標的型メール*7 *8
    • 送付先
      • 衆議院議員 3人(具体的な送付対象者は不明)
      • 参議院議員 7人(内1人は北沢防衛相(当時) *9 他6人は不明)
      • 省庁にも10月に送付されている模様*10
    • 送付元メールアドレス syoutenn_aguri@aol.jp
    • 差出人名 週刊焦点 安栗弘子(あぐり・ひろこ) 記者名を騙ったもの
    • 添付ファイル名 Photo.zip
    • 件名 お願い事
    • 本文 最新号の週刊誌にあなたの顔写真を掲載することになりますがよろしいですか。

衆議院被害状況

  • 悪用、盗用されたID,パスワード*16 *17
    • 議員、秘書用端末のユーザーID、パスワード(ハッシュ値) 1142人分*1
    • コンピュータの個体番号(詳細不明) 1534件*1
    • 感染した公務PCで複数の議員のID,パスワードを保存したファイルを発見*18
    • 盗まれた管理者権限はネットワーク上全てのサーバー、PCを操作できる権限ではない。*1
  • 一次感染した議員端末A *1
    • 7月25日、または26日にID,パスワード,衆議院の証明書を搾取
    • 7月25日〜9月1日の期間、メールを盗み見られた可能性
  • 二次感染した議員アカウントサーバー、運用管理端末
    • 管理者権限のID、パスワードが盗まれる
    • 不正なプログラムが埋め込まれ、不正サイトへアクセスが発生
    • 運用管理端末ではID,パスワード(ハッシュ値)を出力するツールの証跡を確認
  • 三次感染した議員端末25台
    • ファイル流出無し
    • 8月24日〜9月7日の期間メールサーバー状に保存されていたメールは盗み見られた可能性
  • 攻撃経路 *1
    • 1. 衆議院議員3人のメールアドレスへ標的型メールが送付。
        圧縮ファイルに偽装したトロイの木馬型の不正プログラムが添付。
    • 2. その内一人が偽装ファイルを誤って実行し感染。
        中国国内のサイトへ強制接続。該当端末へさらに不正プログラムをダウンロード。
    • 3. (運用管理端末の?)管理者権限のID,パスワードを盗み出す。
        (盗み出した方法等詳細不明)
    • 4. 感染端末から議員アカウントサーバーへ不正プログラムを埋め込まれる。サーバーも不正サイトへアクセスするようになる。サーバー上の情報を外部から閲覧可能な状態に変更。
    • 5. 運用管理端末を乗っ取り、ツールを用いて全議員のID、パスワードハッシュを取得。ドキュメントも流出。
    • 6. ネットワーク上の他25台の端末へ感染を拡大させる。
  • 現在の状況(2011/11/14現在)
    • 感染端末・サーバーはネットワークから切り離され調査中*19との報道以降、復旧したとの報道なし。
    • 感染拡大、情報流出への対策は9/16に実施済み*20
    • 衆議院議員へ公務PCのパスワードの変更依頼*21を2回(10/25,27)に出したが、11/02確認時点で変更した議員は全体の約45%。*22
    • 参議院議員へ不審メールの注意喚起と私有PCでのウィルス対策を依頼*23
    • 被害届はまだ未提出。不正アクセス禁止法違反で提出するか検討中。*24 *25
    • 衆院サーバ等ウィルス感染防止対策本部で11/14に最終報告書を提出*26 *27

衆議院LAN

  • 公務PC 960台
  • 運用管理端末 2台以上
  • サーバー 複数台(議員、秘書、職員用に独立して設置されている)
    • メールサーバー、認証サーバー?(IDとパスワードで本人確認をするサーバー)等の存在が確認されている
    • 参議院系のサーバーとは独立して設置
  • 衆議院立法情報ネットワークシステム
    • Webインタフェースを採用(報道の動画より推測)
    • 陳情情報の検索*28(報道の動画より推測)
    • 議会事務資料が格納されており、PDFでダウンロードできる
    • システムユーザー数 約2660人
      • 衆議院議員 約480人
      • 公設秘書 約480人
      • 事務局職員 約1700人
      • パスワードは3か月に1回定期的に変更要請がかかる
  • 衆議院メールアドレス(Wikipediaより)
     g0000@shugiin.go.jp(議員本人用。「0000」の部分は4ケタの数字が入る)
     h0000@shugiin.go.jp(公設秘書用。上記に同じ
     公開されているアドレスはここ参考
  • 衆議院LANとは別にインターネットに直接接続する回線がある。議員の7割がその回線を利用している。*29

参議院LAN

  • 公務PC 約700台
  • 参議院LANへ接続してる端末からインターネットに直接接続する環境無し。
  • 参議院メールアドレス(Wikipediaより)
     hoge_hoge@sangiin.go.jp(議員本人用。「hoge_hoge」の部分は「名_姓」)
     hoge_hoge01@sangiin.go.jp(公設秘書用。議員用の末尾に2ケタの数字を付加)

時系列まとめ

報道情報(国内のみ)

*1:衆議院事案 最終調査結果を整理してみた。 - piyolog

*2:http://www.yomiuri.co.jp/national/news/20111028-OYT1T01087.htm?

*3:http://mainichi.jp/select/jiken/news/20111029k0000m040093000c.html

*4:http://www.jiji.com/jc/c?g=soc_30&k=2011102800623

*5:http://www.asahi.com/national/update/1028/TKY201110280650.html

*6:参院PC感染なし=事務局発表(時事通信)

*7:http://escala.jp/news/news_detail.php?record_id=882664

*8:http://www.fnn-news.com/news/headlines/articles/CONN00210576.html

*9:サイバー攻撃:北沢氏に標的メール 当時防衛相、感染はせず(毎日)

*10:サイバー攻撃:省庁も標的に 同じ差出人から先月届く(毎日)

*11:10/25 朝日新聞 夕刊1面『サイバー被害、衆院が調査』より

*12:http://www.fnn-news.com/news/headlines/articles/CONN00210470.html

*13:http://www.jiji.com/jc/c?g=soc_30&k=2011102800623

*14:「サイバーテロ対策本部(仮)」設置 第1回会合開く(民主党)

*15:サイバー攻撃対処委を設置(公明新聞)

*16:http://www.asahi.com/national/update/1028/TKY201110280650.html

*17:http://www.fnn-news.com/news/headlines/articles/CONN00210576.html

*18:http://www.nikkei.com/news/category/article/g=96958A9C93819481E0EAE2E0958DE0EAE3E2E0E2E3E3E2E2E2E2E2E2;at=ALL

*19:http://www3.nhk.or.jp/news/html/20111026/t10013523381000.html

*20:http://mainichi.jp/select/jiken/news/20111029k0000m040093000c.html

*21:http://www.tv-tokyo.co.jp/mv/newsanswer/newsl/post_9104

*22:パスワード変えた議員は半数以下 衆院サイバー攻撃(朝日)

*23:参院攻撃 衆院と同時期…参院情報流出(読売)

*24:平成23年10月25日(火)午前-内閣官房長官記者会見

*25:全衆院議員のパスワード流出か 事務局が調査報告

*26:http://www3.nhk.or.jp/news/html/20111028/t10013584161000.html

*27:http://www3.nhk.or.jp/news/html/20111114/t10013956411000.html

*28:http://news.tv-asahi.co.jp/ann/news/web/html/211028049.html

*29:衆院サイバー攻撃、防御ない回線から感染(TBS)

*30:参院PC感染なし=事務局発表(時事通信)

*31:http://mainichi.jp/select/jiken/news/20111029k0000m040093000c.html

*32:http://www.fnn-news.com/news/headlines/articles/CONN00210545.html

*33:http://www.fnn-news.com/news/headlines/articles/CONN00210545.html

*34:http://mainichi.jp/select/jiken/news/20111029k0000m040093000c.html

*35:議院運営委員会庶務小委員会 会議録 平成23年10月25日 第1号 全1件 衆議院へのサイバー攻撃報道に関する件

*36:議院運営委員会庶務小委員会 会議録 平成23年10月27日 第3号 全1件 衆議院へのサイバー攻撃報道に関する件

*37:議院運営委員会庶務小委員会 会議録 平成23年10月28日 第4号 全1件 衆議院へのサイバー攻撃報道に関する件

*38:第5号 平成23年11月14日(月曜日)議院運営委員会庶務小委員会 衆議院へのサイバー攻撃報道に関する件