2015年7月16日、東京大学は学内端末がマルウェアに感染し、情報が漏えいした可能性について発表しました。ここでは関連情報についてまとめます。
公式発表
発表日 | 発表内容 |
---|---|
2015年7月10日 | 【緊急】一部の利用者のパスワード変更について (魚拓) |
2015年7月16日 | 東京大学への不正アクセスによる情報流出被害について (その他) (本部情報戦略課) (魚拓) |
〃 | 教育用計算機システムの利用者の情報流出に関するお詫び (魚拓) |
〃 | サービス利用者の情報流出に関するお詫び(学内からのみアクセス可) (ecc.u-tokyo.ac.jp) (インターネットよりアクセス不可) |
タイムライン
日付 | 出来事 |
---|---|
2015年6月23日 | 東京大学 管理部門の部署宛に会議開催に関するメールが届く。 |
〃 | 東京大学へ不審なメールが届いているとの連絡があった。*1 |
〃 | 東京大学職員がメールに添付されたマルウェアを開封し感染。 |
2015年6月30日 | 東京大学がメール管理サーバーの設定が変更されていたことを把握。 |
2015年7月10日 | 東京大学 情報基盤センターが一部職員、学生のパスワードの強制変更を実施。 |
2015年7月16日 | 東京大学が不正アクセスによる情報漏えいの可能性について発表。 |
被害状況
マルウェア感染の状況
感染場所 | 台数 |
---|---|
情報基盤センター 業務用PC | 1台 |
- 感染端末はインシデント把握後の調査を受け不正なアクセスが確認されたことにより検出。
- 報道等によればECCS(教育用計算機システム)を管理する端末であった。
漏えいした可能性のある情報
不正アクセスを受けて漏えいした可能性のある情報 約36,300件 は次の通り。
- 端末、及びサービスを提供するサーバー等に保存されていた情報が対象。
- 東京大学はこれら情報全てではなく「一部」といった表現をしている。
- 東京大学は発表時点で漏えいした情報の悪用等の二次被害を確認していない。*2
- 成績や住所は漏えい対象の情報に含まれていない。
対象者 | 漏えいした可能性のある情報 | 件数 |
---|---|---|
平成25,26年度学部入学者 平成24,25年度のシステム利用者(学生) |
利用者ID 初期パスワード 氏名 学生証番号 |
約27,000件 |
平成24年度以降のシステム利用者(教職員) | 初期パスワード 所属・身分 氏名 学内連絡先 |
約4,500件 |
現在のシステム利用者(学生・教職員) | 利用者ID 氏名 学生証番号 |
約1,000件 |
サーバーの各部署管理担当者 | ID 初期パスワード 氏名 学内連絡先 |
約3,800件 |
外部から確認できる情報漏えいの可能性があるシステム、サービスは次の通り。
情報基盤センターの業務用PCがマルウェアに感染し,情報流出被害が確認されました(教育用計算機システムの利用者の情報流出に関するお詫び).当該PCがマルウェアに感染したことにより,教育用計算機システム利用者の皆様方の情報の一部が流出した可能性が有ります. 利用者の皆様には大変なご迷惑をおかけしましたことを深くお詫び申し上げます.
http://www.ecc.u-tokyo.ac.jp/
大学の広報ページ 東京大学への不正アクセスによる情報流出被害について (u-tokyo.ac.jp) のとおり,情報基盤センターの業務用PCがマルウェアに感染し,情報流出被害が確認されました. メールホスティングサービスの利用者に関しても,情報の一部が流出した可能性があります.
http://mh.itc.u-tokyo.ac.jp/announcement/2015/07/16_2053.html
詳しくは サービス利用者の情報流出に関するお詫び(学内からのみアクセス可) (ecc.u-tokyo.ac.jp) をご覧ください.
利用者の皆様には大変なご迷惑をおかけしますことを深くお詫び申し上げます.
なお,本件に関するお問い合わせは,電子メールで incident2015@ecc.u-tokyo.ac.jp までご連絡下さい.
尚、報道発表と実際は異なると指摘するツイートもある。
手元に来たメールによると「全利用者に関する以下のデータ」とか戦慄することが書いてあって,報道発表よりも酷いと… 業務用PCに全ユーザのデータを保存してあるのかな… @mkasahara
— Toshi Hikita (@hikita) 2015, 7月 16
原因
東京大学職員がメールに添付されたマルウェアを開封したことによる。
- メールが届いたのは所属部署宛。*4
- メールの文面は実在する学内の会議が取り上げられていた。*5
- 詳細は添付ファイルを見て下さいと添付ファイルの開封を促す内容が記述されていた。
- 添付ファイルの題名は「会議変更」*6
添付ファイルは「会議変更0617(水).exe」?
「会議変更0617(水).exe」といったファイル名がついたEXEファイルがVTでスキャンされていることを確認した。
- 検出名からこのEXEファイルはPlugX系のマルウェアと推定される。
- 解析レポートによればWordのアイコンが偽装して使われている。
ファイル名 | 種類 | SHA265 (VT) |
---|---|---|
会議変更0617(水).exe MarkdownPad.exe |
PlugX | 1ba4f8d569dafdf2c0152d706fc9cc3d6eb646e8ea639c410c8f95e07bc2551e |
レポートで確認された通信先は次の通り。(手元で確認できていないため、これ以外の通信が発生する可能性があります。)
通信先ドメイン | IPアドレス | Port |
---|---|---|
img.microtoo\.com | 138.128.207.200 | 443 |
取り急ぎ、"MarkdownPad.exe" としてユーザフォルダにコピーが作成されスタートアップに登録されたところ。元の "会議変更0617(水).exe" は消えます。 pic.twitter.com/0DatINkgtR
— Neutral8x9eR (@0x009AD6_810) 2015, 7月 16
対応
対応日 | 対応内容 |
---|---|
不明 | 感染端末をインターネットから遮断 |
2015年7月10日 | 漏えいが疑われるパスワードの強制変更*7 |
不明 | 警視庁へ被害相談 |
更新履歴
- 2015年7月16日 PM 新規作成
- 2015年7月17日 PM 漏えいした情報に関して追記
*1:東大に不正アクセス 3万6千件情報流出か,共同通信,2015年7月16日アクセス:魚拓
*2:東大の業務PCに不正アクセス 学生氏名など最大3万6,000件流出,FNN,2015年7月16日アクセス:魚拓
*3:東大から学生らの情報流出、最大3万6300件 マルウェア入り添付ファイル開いて感染,ITmedia,2015年7月16日アクセス:魚拓
*4:東大PCにサイバー攻撃=氏名など3万6000件流出か,時事通信,2015年7月16日アクセス
*5:東大に不正アクセス、氏名など3万6000件流出か,共同通信,2015年7月16日アクセス:魚拓
*6:東京大学で約3万6千件の個人情報流出か、PCウイルス感染,TBS,2015年7月16日アクセス:魚拓
*7:東京大学 最大3万6000件余の情報流出か,NHK,2015年7月16日アクセス:魚拓