piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

JESCOで発生したマルウェア感染についてまとめてみた

2015年6月17日、環境省外郭団体であるJESCOの事務所端末がマルウェアに感染し、不審な通信を確認したと発表しました。ここでは関連情報をまとめます。

タイムライン

日時 出来事
2015年1月29日 JESCOにメールが届き端末1台がマルウェアに感染。
約5ヶ月間感染に気づけず
2015年5月25日 JESCO 北海道事務所の1台のPCから不審な通信が発生。
2015年6月12日 民間事業者がJESCOへ不正通信の発生の連絡。
2015年6月15日 JESCO 北海道事業所の別の1台から不審な通信が発生。*1
2015年6月16日 21時頃 JESCOが全端末のインターネットへの回線遮断を実施。
JESCOより環境省へ当該事案に関する連絡。
2015年6月17日 8時50分 環境省福島県にサーバーへの接続を停止するよう連絡。*2
〃9時〜正午 福島県大井町への汚染土の試験搬送を一時停止*3
JESCOがマルウェア感染による不正通信の発生について発表。
2015年6月18日 午後 JESCOが環境省を訪問し対応遅れについて謝罪。*4
2015年7月17日 JESCOがホームページ掲載情報の更新を再開。
2015年8月3日 JESCOが調査結果を発表。
2015年8月7日 JESCOがインターネット接続を再開する予定。

被害状況

北海道PCB処理事業所(室蘭市仲町)のPC2台がマルウェアに感染していた可能性。*5

  • 感染端末の内、1台は2015年1月29日に感染していた。
  • マルウェアは市販のアンチウィルスソフトでの検出なし。
  • 調査結果よりPCB廃棄物の保管情報等の漏えいは確認されていない。
他関連被害の有無について
  • 廃棄物の輸送管理や監視システム自体へのマルウェア感染は確認されず。
  • システムへは福島県土木部、生活環境部や福島県警警察本部とも通信が可能。(合計360台のPC接続あり) *6 今回の件による影響は確認されていない。*7
  • 中間貯蔵地施設建設予定地の地権者情報は環境省管理にあり、漏えいの可能性はない。

発端

  • 2015年6月12日に民間事業者より不正通信発生の指摘を受けたことによる。

原因

  • 2015年1月29日に職員が標的型メールに添付されたマルウェアを実行し感染したため。*8
  • メールタイトルは「医療費負担のお知らせ」で、保険組合を騙ったメールが届いた。*9

対応

JESCO
対応日 対応内容
2015年6月16日 サーバーの回線遮断
電子メールの送受信の停止
JESCOホームページの情報更新の停止
福島県いわき市管理センター等のPC接続を遮断
2015年7月1日 情報セキュリティ高度化推進チームの設置
2015年8月7日 インターネットとの接続を再開
その後 セキュリティ専門会社の助言を踏まえ、以下の対策を実施。
個人情報等を外部から保護する措置の強化
多重防衛システムの強化
社員教育の内容の充実
関係規程類の見直し
環境省
対応日 対応内容
2015年6月16日 環境省とJESCOとのメールのやり取りの一時禁止措置*10

更新履歴

  • 2015年6月20日 AM 新規作成
  • 2015年7月2日 PM 続報を反映
  • 2015年8月5日 AM 続報を反映