piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

JAXAのウィルス感染事案をまとめてみた。

JAXAが1月13日付で発表したウィルス感染事案について、JAXA発表、及び報道情報を元に概要をまとめました。

概要

JAXAが1月13日付で去年8月にウィルス感染していた事実を発表しました。*1以下はJAXAが1月13日付で発表した情報の引用です。また、調査結果については3月27日付で機微情報の漏えいがなかったことをJAXAが発表しています。*2

宇宙航空研究開発機構JAXA)において、職員の端末1台がコンピュータウイルスに感染し、当該端末内の情報及び当該職員がアクセス可能なシステムに関する情報が外部に漏洩していたことが本年1月6日に判明しました。
現在、JAXAでは漏洩した情報内容の特定および原因究明に取り組んでおります。

http://www.jaxa.jp/press/2012/01/20120113_security_j.html

  • 流出した可能性のある情報
    • JAXAの業務システムのID,パスワード(既に変更済み)
    • 米航空宇宙局(NASA)の国際宇宙ステーションに関する文書システムのID,パスワード(NASAへは報告済み)
    • 米国宇宙航空学会の論文検索システムにアクセスするためのID,パスワード
    • 感染端末の画面キャプチャ(メール操作時のもの)やディレクトリのリスト
    • 職員の端末に保存されていた約1000件のメールアドレス
      内訳
       
    • なお、国際宇宙ステーションへの物資補給機「こうのとり」(HTV)に搭載する機材や荷物の取り扱い(積み下ろし)に関する運用手順書等のデータ(本体に関する設計情報は含まれていない)が漏えいした可能性が報道されていたが、JAXAの発表では「当該期間中にHTVの仕様や運用に関する機微な情報が扱われていなかった」とあり、これに該当するかは不明。
  • 標的型メール攻撃情報
    • 送付人数 複数名
    • 開封人数 1名(30代男性職員)
    • 送付元メールアドレス 不明(差出人名のアドレスは用いられていない)
    • 差出人名 知人名を詐称
    • 件名 不明
    • 本文 不明
    • 添付ファイル 有り
      • ファイル種別 PDF
      • ファイル名:「忘年会」
    • ウィルスの種類 バックドアキーロガー
      • 2011/08/11時点までウィルス対策ソフトでは検知できず。
      • 不正サイトから4回にわたりファイル(アドオン?)をダウンロードした形跡あり。
      • バックドア接続先 コロンビア
      • OAソフトウェアの既知の脆弱性を利用。
      • 最新版にバージョンアップされていなかったために感染。
  • JAXAが行った対応
    • OAソフトウェアのバージョンアップ
    • システムのID、パスワードの変更
    • NASA等システムへの不正アクセス有無の確認(結果不正アクセス無しであることを確認)
    • 漏えいした可能性のあるメールアドレス保持者全員へお詫びと注意喚起

時系列まとめ

  • 2011/07/06
    • JAXAの職員1人がメールに添付されたファイルを開封し、ウィルスに感染。
  • 2011/08/11
    • 職員端末のウィルス対策ソフトが不正サイトへの通信を検知。感染事実が発覚。
  • 2011/08/17
    • 駆除を行ったが、ネットワークに接続したところウィルス対策ソフトが再び不正通信を検知。
  • 2012/01/06
    • 外部調査会社の報告により、JAXAが感染端末における被害状況の詳細を把握。
  • 2012/01/12
    • NASAへウィルス感染事案について報告。
  • 2012/01/13
    • JAXAがウィルス感染の事実と情報流出した可能性があることを発表。
  • 2012/03/27
    • JAXAが本事案を通じて機微情報の漏えいがなかったことを発表。

更新履歴

※更新履歴は魚拓を参照。
01/13 PM 新規作成
03/27 PM 調査結果報告に伴い更新。

※ 概要をまとめるにあたり参考にした報道情報*3 *4 *5 *6 *7