piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

原子力安全基盤機構のウィルス感染事案をまとめてみた。

原子力安全基盤機構(以下JNESと表記)が2012年5月2日付で発表したウィルス感染事案について、JNESの発表、及びメディアの報道情報を元に概要をまとめます。

概要

JNESが5月2日付で、機構内の端末がウィルスに感染し、外部サイトとの通信が行われていたことが5月1日に判明したことを発表しました。*1以下はJNESが5月2日付で発表した情報の引用です。

平成24年5月1日、独立行政法人 原子力安全基盤機構のパーソナルコンピュータがマルウェアに感染し、外部のサイトと通信を行っている可能性について、外部機関から連絡がありました。
調査の結果、5台のコンピュータから、外部サイトへの使用者の意図しない通信が行われていることが確認されたため、速やかに該当サイトへの通信を遮断する措置を取りました。
今のところ、資料等の流出は確認されておりませんが、今後、本事象が発生した原因等について、詳細に調査を行うこととしており、外部の専門家と共同で調査・対応を進めてまいります。

http://www.jnes.go.jp/content/000122587.pdf

また6月11日付でJNESは続報として、5月2日付で報告された5台を含む合計19台において外部への通信を行っている端末が確認されたこと、並びにそれらへの対処内容と再発防止策について発表しました。*2

そして7月9日付でJNESは最終報として、5月2日付、6月11日付で報告された19台において、外部へ情報を可能性のある端末が8台確認されたことを報告しました。*3

  • 被害状況
    • 感染場所 JNES内端末
    • 感染台数 19台(5/2に5台、6/11にさらに14台が追加された)
    • 5/2に発表された5台は統括参事、技術顧問、原子力施設の検査部門の3部門の職員の端末
    • 8台のPCから流出した可能性のある情報(5/2に5台、7/9に3台が追加された)
    • 感染したウィルス 詳細不明(2011年1月までには作成され、かつ2012年5月時点で検知されていない)
    • 感染原因 2011年1月に受けた標的型メール攻撃により感染したと考えられる。
  • 標的型メール攻撃に関する情報
    • 非公開。
  • ウィルスの挙動
    • 1回あたり(この回数の示す具体的な内容は不明)200バイトの情報を送信。
    • 送信先 米国内のサーバー

  • 感染把握後のJNESの対応
    • 感染が確認された19台のネットワークからの切り離し
    • 24時間での監視体制を構築
    • 複数のウィルス対策ソフトを用いた定期的なPCスキャンの実施
    • 5月2日時点では警視庁への被害届を出すとの報道があったが、6月11日付の発表では特に被害届については触れられていない。 最終報でも被害届については特に記載されていない。

時系列まとめ

  • 2011/01
    • 機構内の業務用PC1台がウィルスに感染。標的型メール攻撃による感染と推測される。当該感染端末を通じて感染が拡大。
  • 2011/03中旬-07中旬
    • 機構内PCを通じてファイルサーバー内の資料(PDF)が外部へ送信された可能性。
  • 2012/05/01 18時頃
    • インターネット通信の調査会社*4より勝手に通信が行われていると通報。
  • 2012/05/02
    • 5台のPCがウィルスに感染し、2012/04/11から1000回にわたって外部にデータを送信していたと発表。
  • 2012/06/11
    • 続報として調査結果、再発防止策を発表。5/2発表時の5台を含む合計19台がウィルスに感染していたことも併せて発表。
  • 2012/07/09
    • 最終報として外部業者との継続調査の結果、外部へデータを送信している台数が既報5台を含む8台であったことを確認した旨発表。

 

更新履歴

※更新履歴は魚拓を参照。
06/11 PM 新規作成
06/12 PM 誤植や流出原因について追記。
07/30 PM 最終報の内容を反映。

※ 概要をまとめるにあたり参考にした報道情報 *5 *6 *7 *8 *9 *10 *11

*1:機構内パーソナルコンピュータのマルウェア(不正プログラム)感染の可能性及び外部サイトとの意図しない通信について(PDF),JNES,2012/06/11アクセス

*2:機構内パーソナルコンピュータのマルウェア(不正プログラム)感染の可能性及び外部サイトとの意図しない通信について(続報)(PDF),JNES,2012/06/11アクセス

*3:機構内パーソナルコンピュータのマルウェア(不正プログラム)感染の可能性及び外部サイトとの意図しない通信について(最終報)(PDF),JNES,2012/07/30アクセス

*4:日経BPでは機構の通信を監視している専門機関との報道もある

*5:パソコン5台、ウイルス感染か=外部サイトと通信−原子力安全基盤機構,時事通信,2012/06/11アクセス:魚拓

*6:原子力安全基盤機構のPC「感染」で情報流出か(12/05/03),ANN,2012/06/11アクセス

*7:原子力安全基盤機構:職員のパソコンがウイルス感染か,毎日,2012/06/11アクセス:魚拓

*8:原発事故情報が外部流出…PCのウイルス感染で,読売,2012/06/11アクセス:魚拓

*9:原子力基盤機構、53人の個人情報流出,日経,2012/06/11アクセス:魚拓

*10:PC19台がウイルス感染=原発事故情報が流出−原子力安全基盤機構,時事通信,2012/06/12アクセス:魚拓

*11:事故後の原発情報流出,読売新聞,2012年6月12日 朝刊37面