概要

JAEAが12月5日付で、機構内保有の端末がウイルスに感染し、外部のサイトへ通信が行われていたことが11月29日に判明し田ことを発表しました。*1以下はJAEAが12月5日付で発表した情報の引用です。

独立行政法人日本原子力研究開発機構（以下｢原子力機構｣という。）において、職員の利用するパソコンがコンピュータウイルスに感染し、原子力機構の保有する情報が外部に漏えいした可能性があることが判明しました。現在、漏えいした可能性のある情報とその内容の特定に取り組んでおります。
　 原子力機構としては、この度の事案を重く受け止め、再発防止に向けて、より一層の情報セキュリティ強化に取り組んでまいります。

http://www.jaea.go.jp/02/press2012/p12120501/index.html

被害状況

• 感染場所 JAEA(茨城県東海村、本部法務室)
• 感染台数 3台
  • 告発窓口のアドレスについて問い合わせを受けた職員の端末
  • 問い合わせ内容について情報共有のため転送した端末
  • 機構アドレス宛てに送られたことにより感染した端末
• 感染端末3台の内2台のPCから流出した可能性のある情報*2
  • 研究開発活動に係る不正行為の告発に関する情報
  • コンプライアンス活動に関する情報
  • 尚、核物質の種類や保管状況の重要情報は含まれていない。*3
  • その後の調査により、1台から機構外部の関係者135人を含む803名分の電子メールアドレス一覧が漏えいした可能性が高いことを確認。*4

標的型メール攻撃に関する情報

• 送付時期　2012/11/14、2012/11/19
• 送付人数　1名、及び機構内のアドレスに対して1回
• 開封人数　3台のPCで感染報告。
  • メールに添付されていたファイルを開封したことによる感染。
• 送付元メールアドレス　実在しない人物を名乗るアドレス*5
• 発信元　不明
• 件名　研究関連の不正行為の情報提供と称した件名*6
• 添付ファイル　有り（ウィルス）
  • 添付されていたファイルは白紙のページが表示された。*7
• マルウェアの挙動
  • 外部のサイトに対して、約1300回の通信を行っていた。
• 送信先のサーバー
  • メキシコ
  • インド

感染把握後のJAEAの対応

• 感染端末はネットワークから切り離し調査を実施済み。
• マルウェアの解析、及び漏えいした可能性のある情報の精査を実施。
• 当該端末以外で感染がないかの確認を行い、3台以外に感染がないことを確認した。
• 調査結果を報告した。*8

対話式に行われた標的型攻撃

　今回感染した経緯は職員宛に告発窓口を確認(これから告発に関する情報等を送付するといった事前連絡)するメールが届き、職員がそれに返信をしたところ、マルウェア付のメールが送付されたと公式、及び報道より報じられています。*9一般に標的型攻撃と呼ばれる攻撃の起点は、まずマルウェアが添付されたメールが送付しそれを開封させるされるというものが大半ですが、今回の事案ではいきなりマルウェア付メールを送付するのではなく、対象とメールを返信しあった上でマルウェアを送るという対話式の手順を踏んでいます。相手方の油断を誘う一つの手法として今後この手の方法が増える事も考えられ、注意が必要です。
　尚、報じられている類似の事例としては2011年4月に起きた国土交通省四国地方整備局の感染事案*10 *11があります。

時系列まとめ

• 2012/11/14
  • 告発窓口を確認する問い合わせメールが送付され、職員が返信。その後マルウェア付メールが送付。
• 2012/11/19
  • 再度メールが送付。(機構内アドレス宛?)
• 2012/11/29
  • 監視を行っている業者より、不審な接続が行われていると報告。その後感染を確認。
• 2012/12/05
  • JAEAがウイルス感染インシデントの発生を公表。
• 2013/01/18
  • JAEAがウイルス感染インシデントの調査結果を公表。

その他

• 研究開発活動への不正行為への対応(JAEA)
  • 告発先電子メールアドレスの記載有り。

更新履歴

• 2012/12/05　AM　新規作成
• 2013/02/07 AM　調査結果報告公表に伴い更新。