piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

参議院のウィルス感染事案をまとめてみた。

インシデントまとめ

11/4付で「参院事務局が参院側の端末においても不正通信の痕跡が確認されたと発表」とメディアが報じました。*1なお、7/22,25の標的型メール攻撃に関するまとめはこちらに含めていません。

概要

  • 被害状況
    • 漏えいした可能性のある情報
      • 議員のメールデータ 少なくとも2名(11/05)*2 → 13名(11/14)*3 → 全員?(11/21) *4
      • 参議院議員、公設秘書、システム管理者のID,パスワード 合計約700件*5
    • 感染したマシン
      感染経緯 一次感染(8/5) 端末3台 → 二次感染(8/9) 端末1台 サーバー2台→ 三次感染(8/22) 端末25台*6
      • 端末 29台*7
      • サーバー 2台(ドメインコントローラ、ネットワーク監視) *8 *9
    • フリーメールアドレス(米国)宛へ勝手にメールを送信。*10 *11
    • 感染させたドメインコントローラーを利用して、10人の議員室の合計25台の端末を感染させた。*12
    • 8月8日〜10月31日の間、中国とシンガポールのサイトへ接続。*13
  • 発覚した経緯
    • 11/2に7/22,25の事案を受け、衆議院の情報が米国のフリーメールアドレス宛に送信されていることが判明。*14
    • そのフリーメールの受信箱に7/22,25に標的型メール攻撃の送付を受けていない参議院議員2名の情報も存在していた。*15
    • これを受け、参議院事務局が参議院LANの接続履歴を調査したところ、11/4に一部端末で不正通信が行われていることを確認した。*16
    • 感染端末29台の内、5台を調査したところ、認証、監視を行っている2つのサーバーに対して不正アクセスの形跡を確認。サーバー2台もウィルスに感染していることが11/21確認された。*17
  • 送付された標的型メール攻撃の詳細
    • メール送信元 中国*18
    • 送信元メールアドレス トップレベルドメインが「.jp」他については詳細未発表 *19
    • 送信日 最初のメールは2011年8月5日*20
    • メール件名 複数確認されている。内訳は(1)が1通、(2)が2通?*21
      • (1)「『内部資料』中国権力継承の動き」*22
      • (2)「資料送付のお知らせ」*23
    • メール開封者 詳細不明 ((12/09 参院への攻撃 発信元は中国(毎日) 『3人の議員室で、議員か秘書がウイルス付メールの添付ファイルを開け』(12/09 紙面)))
  • 7/22,25に行われた標的型メール攻撃との関連性
    • 発信元、題名は異なる。*24
    • 添付されているマルウェアは異なる。 *25
    • 7/22,25の標的型メール攻撃でメール送付を受けた7台とは別。*26
    • 衆議院で感染した端末が接続していた3つのサイト(中国2つ、シンガポール1つ)の内、同じ接続先が2つ存在する。*27
  • 事務局側の対応
    • 11/14 緊急対策として、全参議院議員に対し、端末内部に保管している重要データをUSBメモリへ移動*28することや、パスワードの変更*29を依頼。
    • 11/21 サーバーへの感染が確認されたため、該当サーバーのネットワークからの切断と他32台のサーバーの詳細な調査継続。*30
    • 11/28 参議院運営委員長から衆議院運営委員長へサイバー攻撃事案の情報共有が行われなかったことについて抗議。*31 *32
    • 12/04 参議院に既存の「情報化推進室」を拡充する形で情報セキュリティ専門部署を1月に設置することを決定。*33
    • 12/07 パスワード変更が5割(53%)にとどまっているため、変更されていない端末に対し、9日0時より12日までに強制変更を行うと発表。*34
    • 12/07 危機管理意識徹底のため、抜き打ちで訓練(おとりメール送付)を実施することを決定。*35
    • 12/09 参議院事務局が中間調査状況を報告。

時系列まとめ

  • 2011/08/05
    • 標的型メールが送付され、参議院議員室の端末3台がウィルスに感染。
  • 2011/08/09までに
    • 端末1台、サーバー2台へ感染を拡大。
  • 2011/08/22までに
    • サーバーを踏み台として、参議院議員室10名の合計25台の端末に感染を拡大。
  • 2011/11/02
    • 衆議院事案で情報送信されているフリーメールの受信箱に参議院議員の情報もあり、調査を開始。
  • 2011/11/04
    • 参議院事務局が複数の端末で不正通信の形跡があったと発表。
  • 2011/11/14
    • 参議院事務局が本事案の中間調査状況を報告。
  • 2011/11/21
    • 参議院事務局が認証、監視サーバーへの感染を確認し、全参議院議員のID,パスワードが流出した可能性があると発表。
  • 2011/11/28
    • 参院運営委員長から衆院運営委員長へ情報共有が行われなかったことについて抗議。
  • 2011/12/04
    • 参議院に情報セキュリティ専門部署を1月に設置することを発表。
  • 2011/12/09
    • 感染事案の中間調査状況を発表。また、0時より事務局がパスワードが変更されていない端末に対して、強制変更。

更新履歴

詳細は魚拓参照

*1:11/04 参院の議員用パソコン3台に不正通信の痕跡(読売)『複数の議員用パソコンから外部に向けた不正通信の形跡が見つかったと発表した。』(魚拓)

*2:11/05 情報流出の2参院議員、攻撃メール届いた7人とは別(朝日)『少なくとも2人の参議院議員のメール情報が米国内のサーバーに流出した 』 (魚拓)

*3:11/14 衆院サイバー攻撃 全議員のIDなど流出か(NNN)参議院でも、議員13人に貸与したパソコン29台が』 (魚拓)

*4:11/21 参院も全議員のID流出か…メール見られた疑い(読売) 『「外部に流出し、メールなどが盗み見られた疑いがある」とみている。』

*5:11/21 参院2サーバー感染、議員IDなど流出か (日経)『全参院議員と公設秘書のIDとパスワードが盗まれた可能性があると発表した。』『ドメインサーバーは、議員と秘書の計約700のIDとパスワードを管理。システムを運営する管理者IDも含まれる。』 (魚拓)

*6:12/09 参院サイバー攻撃、中国のメール感染きっかけか(読売)『3台で添付文書が開封され、ウイルスに感染した。その後、別のパソコン1台とサーバー2台が感染し、このサーバーから10の議員室の計25台のパソコンに感染が拡大した。』

*7:11/15 サイバー攻撃、衆院把握後も参院で被害か 連携不足の声(朝日)参院のネットワークに接続された議員のパソコン計29台』 (魚拓)

*8:11/21 参院でもID流出か サーバーに不正アクセス(産経)不正アクセスを受けたのは34台あるサーバーのうち2台。』 (魚拓)

*9:11/21 参院も全議員のID流出か…メール見られた疑い(読売)『感染の疑いがあるのは利用者のIDやパスワードを管理する「ドメインコントローラー」と、ネットワークの監視を担当するサーバー。』 (魚拓)

*10:11/04 サイバー攻撃:参院議員会館も3人のパソコン感染(毎日)送信先はフリーメールのアドレスになっており、このアドレス経由で米国のサーバーに情報が送られたらしい。』(魚拓)

*11:11/05 参議院で新たに不正メール送信の疑いが浮上(NNN)『新たに別の複数の議員の事務室で勝手にメールが送信されていた疑いがある』 (魚拓)

*12:12/09 サイバー攻撃:参院への攻撃、発信元は中国(毎日)『全議員のID・パスワードを管理するサーバーを感染させ、同月22日、盗んだID・パスワードを使って10議員室25台のパソコンを感染させた。』

*13:11/15 サイバー攻撃、衆院把握後も参院で被害か 連携不足の声(朝日)『8月8日〜10月31日、中国とシンガポール国内のサイトに勝手に接続された痕跡が確認された。』

*14:11/02 参院もメール情報流出、送信先画面に中国簡体字(読売)衆院に送りつけられたウイルスは、感染端末の内部の情報を外部に送信するようプログラミングされ、送信先の一つが米国のネット会社が提供するフリーメールのアドレスになっていた。』(魚拓)

*15:11/02 参院もメール情報流出、送信先画面に中国簡体字(読売)『送信者のメールアドレスの中には少なくとも、参院議員2人、衆院議員1人のものが含まれていた。』

*16:11/04 参院の議員用パソコン3台に不正通信の痕跡(読売)『複数の議員用パソコンから外部に向けた不正通信の形跡が見つかったと発表した。』

*17:11/21 全議員のパスワード情報、流出か 参院が発表(朝日)『その結果、5台とも8月上旬〜10月中旬に、サーバー2台に不正アクセスをした痕跡が確認された。』(魚拓)

*18:12/09 参院サイバー攻撃、中国のメール感染きっかけか(読売)『ウイルス付きメールの発信元は中国とみられ』 (魚拓)

*19:12/09 サイバー攻撃:参院への攻撃、発信元は中国(毎日) 『メールアドレスの末尾は「jp」で、国内から送られたように見せかけていた』(魚拓)

*20:12/09 参院サイバー攻撃、中国のメール感染きっかけか(読売)『最初のウイルス付きメールが送られたのは8月5日』

*21:12/08 参院サイバー攻撃、中国からのメール発端(朝日) 『報告によると、議員2人のパソコン計2台に8月5日、「資料送付のお知らせ」という題名のメールが届き、』 (魚拓)

*22:12/09 サイバー攻撃:参院への攻撃、発信元は中国(毎日) 『メール件名は「『内部資料』中国権力継承の動き」などだった。』

*23:12/09 「メール発信元は中国」 国会議員サイバー攻撃 参院が中間報告(産経) 『8月5日に受信した「資料送付のお知らせ」「内部資料 中国権力継承の動き」という件名』 (魚拓)

*24:11/05 情報流出の2参院議員、攻撃メール届いた7人とは別(朝日)『発信元や題名が異なっていた。 』

*25:11/21 全参院議員ID流出か=サーバー2台感染−事務局発表(時事通信) 『今回は衆院で見つかったウイルスとは「異質なもの」という。』(魚拓)

*26:11/04 参院の議員用パソコン3台に不正通信の痕跡(読売)『今回、感染の疑いが発覚したのはこれとは別なパソコンだという。』

*27:11/15 サイバー攻撃、衆院把握後も参院で被害か 連携不足の声(朝日)衆院への攻撃で使われた三つのサイトのうちの二つで、』

*28:11/04 参院の議員用パソコン3台に不正通信の痕跡(読売)『全議員に対して、パソコン内部に保管している重要データをUSBメモリーに移動することなどを求める、緊急の対策を要請した。』

*29:11/05 参議院で新たに不正メール送信の疑いが浮上(NNN)『議員全員にパスワード変更などの措置を行うよう文書で呼びかけている。』

*30:11/21 参院、全議員のIDやパスワード流出か(TBS) 『事務局では感染したサーバーをネットワークから切り離しましたが、』 (魚拓)

*31:11/29 参院が衆院に抗議…サイバー攻撃で情報提供なし(読売) 『「衆院事務局から情報提供がなかった。事務局に猛省を促す」などとして異例の抗議を受けた』 (魚拓)

*32:11/29 サイバー攻撃、衆院に抗議=参院議運委員長「連絡遅い」(時事通信)『「衆院で8月に発生していたが、連絡が遅れて10月になった」と抗議し、同種の事例があれば早急に連絡するよう申し入れた。』 (魚拓)

*33:12/04 参議院に情報セキュリティー部署(NHK) 『民間の専門家も加えた情報セキュリティーを専門に担う部署を来月にも新たに設ける』 (魚拓)

*34:12/07 パスワード強制変更へ=サイバー攻撃対策−参院(時事通信) 『9日午前0時の段階で変更が確認できないパソコンが対象で、事務局がシステムを操作して対処する。変更作業は12日までに完了する。』(魚拓)

*35:12/07 全議員に「おとりメール」送信、不正防止策で(産スポ)『危機管理意識の徹底を図るため、全議員のアドレスに事務局から「おとりメール」を送ることを決めた。』(魚拓)