piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

総務省のウィルス感染事案をまとめてみた。

総務省が11月4日付で発表したウィルス感染事案について、報道情報を元に概要をまとめました。

概要

総務省が11月4日付でウィルス感染していた事実を発表しました。以下総務省の発表資料*1です。総務省からの情報流出等、具体的な被害については現在調査中であり、総務省内の端末約8000台すべてに対し、調査を行う*2予定です。

総務省は、一連のサイバー攻撃に対する報道を受け、詳細な調査を実施していたところ、総務省職員用の複数のパソコンが、トロイの木馬型ウイルスに感染していたことが、平成23年11月2日(水)に判明しました。現時点で判明している感染経路は、メールに添付されていたファイルを開封したことによるものでした。当該メールの件名は、「平成23年(2011年)東北地方太平洋沖地震東日本大震災)について(平成23年7月26日 17:00):緊急災害対策本部発表資料)」という、震災に関連する内容を騙ったものでした。
 
ウイルス感染したパソコンは、即日回収し、必要な措置を取りました。ウイルス感染による外部への情報流出等の影響については、現在調査中です。今後とも引き続き、関係機関と協力し、調査を進め、事実関係の把握に努めるとともに、このたびの事案を重く受け止め、さらなる情報セキュリティ強化に取り組んでまいります。

  • 被害状況
    • 7/28の標的型攻撃メールを受け感染した端末 1台
      • 接続先 米国のサーバー(現在は閉鎖中) *3
    • その他感染した端末 22台(11/11の発表で1台追加)
      • 接続先 インド、台湾のサーバー等
    • 感染端末、感染が疑われる端末いずれもネットワークから隔離済み。
    • 地方局2箇所を含む約10部署の端末(サーバーへの感染は確認されていない*4 )
    • 感染者の半数近くは管理職*5
  • 7/28の標的型攻撃に用いられたメール*6 *7
    • 送付先 確認されているのは1台
    • 送付元メールアドレス 匿名でも利用できるフリーメール
    • 差出人名 面識のある他省の実在する国家公務員の名前 *8 *9
    • 添付ファイル名 11/4現在不明。ファイル種別は圧縮ファイル。
    • 件名 「平成23年(2011年)東北地方太平洋沖地震東日本大震災)について(平成23年7月26日 17:00):緊急災害対策本部発表資料)」
    • 本文 (11/11 現在不明)
  • 流出した可能性のある情報*10
    • 業務関連情報(仕事相手先の名刺画像等)
    • 職員と家族のプライベート情報
    • 流出したデータは合計2MB
  • 添付されていたウィルス*11
    • 2〜4種類
    • 検体名は発表時点でベンダ呼称が未定のため未公表。
    • 接続回数は多いもので約150回*12
    • 情報を抜き取るタイプのウィルス(キーロガー?)は23台の内10台で確認。*13

時系列まとめ

  • 2011/07/28
    • 標的型攻撃メールが午前中、総務省へ送付される。添付ファイルを開封し感染。*14
  • 2011/09/13
    • NISCより、PC1台が米国へ接続を試行していると指摘。総務省で調査を行うが発見できず。*15
  • 2011/10/25
  • 2011/11/02
    • 総務省内でウィルス感染の事実を確認。
  • 2011/11/04
    • 総務省がウィルス感染が確認されたと報道発表。
  • 2011/11/12
    • 総務省がウィルス感染続報を発表。疑われていた端末とさらに1台増えて23台すべて感染していたことが明らかに。*17

*1:総務省におけるウイルス感染事案

*2:11/4 総務省のパソコンも感染(NHK)『およそ8000台に上るすべての職員のパソコンを調査する』(魚拓)

*3:11/4 サイバー攻撃:総務省のパソコンもウイルス感染(毎日) 『接続先のサイトは米国にサーバーがあり、現在は閉鎖されている。』(魚拓)

*4:11/4 総務省の職員用パソコンからウイルス発見(NNN)総務省のサーバーが感染した形跡はないということだが』(魚拓)

*5:11/11総務省のコンピューターがウイルス感染で情報流出(FNN)『感染したパソコンの半分近くは、課長級の幹部職員が使っていたものです。』(魚拓)

*6:11/4 職員用パソコンがウイルス感染=情報流出は「調査中」−総務省(時事通信) 『このうち1台は』『差出人は日本人男性の名前』(魚拓)

*7:11/4 総務省にも標的型メール、22台感染・不正通信(読売) 『送信者は日本人男性の名前で、匿名でも登録できるフリーメールが利用されていた』『添付された圧縮ファイルを開封』(魚拓)

*8:11/11 総務省職員用PCウイルス感染問題 情報が外部に流出した形跡あったと発表(FNN) 『実在する国家公務員の男性の名前で送信されていた』(魚拓)

*9:11/12総務省サイバー攻撃、実在職員名で送信 『他省の実在する男性職員の名前で送信されており、受信した総務省職員と面識がある』(魚拓)

*10:11/11 総務省の感染PC、情報流出確認 業務関連など2MB(朝日)(魚拓)

*11:11/12総務省が感染したトロイの木馬は新種、ウイルス対策ソフトで検知できず(InternetWatch)ウイルス対策ベンダーによる分類・呼称もまだ確定していないという。』『いくつかのバリエーション(2種類もしくは4種類に分類)がある』(魚拓)

*12:11/4 総務省にも標的型メール、22台感染・不正通信(読売)『多いものでは約150回の接続が確認された』(魚拓)

*13:11/12 総務省サイバー攻撃、実在職員名で送信(読売) 『このうち10台からは情報を抜き取るタイプのウイルスも見つかった。』(魚拓)

*14:11/4 総務省のパソコンがウイルス感染 22台回収(日経)総務省によると、パソコンは今年7月28日、「東日本大震災」と題名のついたメールの添付ファイルを開いて感染した。』(魚拓)

*15:11/4 総務省のパソコン22台、ウイルス感染 情報流出か(朝日)『新種のウイルスだったため総務省の調査では見つけられず、』(魚拓)

*16:11/4 総務省のパソコン22台、ウイルス感染 情報流出か(朝日)衆院へのサイバー攻撃発覚後にセキュリティー会社に調査を依頼して見つかった。』

*17:総務省におけるウイルス感染事案(その2)