piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

東京大学で発生したマルウェア感染についてまとめてみた

2015年7月16日、東京大学は学内端末がマルウェアに感染し、情報が漏えいした可能性について発表しました。ここでは関連情報についてまとめます。

公式発表

発表日 発表内容
2015年7月10日 【緊急】一部の利用者のパスワード変更について (魚拓)
2015年7月16日 東京大学への不正アクセスによる情報流出被害について (その他) (本部情報戦略課) (魚拓)
教育用計算機システムの利用者の情報流出に関するお詫び (魚拓)
サービス利用者の情報流出に関するお詫び(学内からのみアクセス可) (ecc.u-tokyo.ac.jp)
(インターネットよりアクセス不可)

タイムライン

日付 出来事
2015年6月23日 東京大学 管理部門の部署宛に会議開催に関するメールが届く。
東京大学へ不審なメールが届いているとの連絡があった。*1
東京大学職員がメールに添付されたマルウェア開封し感染。
2015年6月30日 東京大学がメール管理サーバーの設定が変更されていたことを把握。
2015年7月10日 東京大学 情報基盤センターが一部職員、学生のパスワードの強制変更を実施。
2015年7月16日 東京大学不正アクセスによる情報漏えいの可能性について発表。

被害状況

マルウェア感染の状況
感染場所 台数
情報基盤センター 業務用PC 1台
  • 感染端末はインシデント把握後の調査を受け不正なアクセスが確認されたことにより検出。
  • 報道等によればECCS(教育用計算機システム)を管理する端末であった。
不正アクセスの状況

東京大学 学内メールサーバー(メールホスティングサービスか?)が不正アクセスされた。

漏えいした可能性のある情報

不正アクセスを受けて漏えいした可能性のある情報 約36,300件 は次の通り。

  • 端末、及びサービスを提供するサーバー等に保存されていた情報が対象。
  • 東京大学はこれら情報全てではなく「一部」といった表現をしている。
  • 東京大学は発表時点で漏えいした情報の悪用等の二次被害を確認していない。*2
  • 成績や住所は漏えい対象の情報に含まれていない。
対象者 漏えいした可能性のある情報 件数
平成25,26年度学部入学者
平成24,25年度のシステム利用者(学生)
利用者ID
初期パスワード
氏名
学生証番号
約27,000件
平成24年度以降のシステム利用者(教職員) 初期パスワード
所属・身分
氏名
学内連絡先
約4,500件
現在のシステム利用者(学生・教職員) 利用者ID
氏名
学生証番号
約1,000件
サーバーの各部署管理担当者 ID
初期パスワード
氏名
学内連絡先
約3,800件

外部から確認できる情報漏えいの可能性があるシステム、サービスは次の通り。

情報基盤センターの業務用PCがマルウェアに感染し,情報流出被害が確認されました(教育用計算機システムの利用者の情報流出に関するお詫び).当該PCがマルウェアに感染したことにより,教育用計算機システム利用者の皆様方の情報の一部が流出した可能性が有ります. 利用者の皆様には大変なご迷惑をおかけしましたことを深くお詫び申し上げます.

http://www.ecc.u-tokyo.ac.jp/

大学の広報ページ 東京大学への不正アクセスによる情報流出被害について (u-tokyo.ac.jp) のとおり,情報基盤センターの業務用PCがマルウェアに感染し,情報流出被害が確認されました. メールホスティングサービスの利用者に関しても,情報の一部が流出した可能性があります.
詳しくは サービス利用者の情報流出に関するお詫び(学内からのみアクセス可) (ecc.u-tokyo.ac.jp) をご覧ください.
利用者の皆様には大変なご迷惑をおかけしますことを深くお詫び申し上げます.
なお,本件に関するお問い合わせは,電子メールで incident2015@ecc.u-tokyo.ac.jp までご連絡下さい.

http://mh.itc.u-tokyo.ac.jp/announcement/2015/07/16_2053.html

尚、報道発表と実際は異なると指摘するツイートもある。

発端

感染した端末を通じて大学のメールサーバーの管理コンソール画面の設定が変更されていたため。

  • 管理画面の設定言語が日本語から中国語に変更されていた。*3

原因

東京大学職員がメールに添付されたマルウェア開封したことによる。

  • メールが届いたのは所属部署宛。*4
  • メールの文面は実在する学内の会議が取り上げられていた。*5
  • 詳細は添付ファイルを見て下さいと添付ファイルの開封を促す内容が記述されていた。
  • 添付ファイルの題名は「会議変更」*6
添付ファイルは「会議変更0617(水).exe」?

「会議変更0617(水).exe」といったファイル名がついたEXEファイルがVTでスキャンされていることを確認した。

ファイル名 種類 SHA265 (VT)
会議変更0617(水).exe
MarkdownPad.exe
PlugX 1ba4f8d569dafdf2c0152d706fc9cc3d6eb646e8ea639c410c8f95e07bc2551e

レポートで確認された通信先は次の通り。(手元で確認できていないため、これ以外の通信が発生する可能性があります。)

通信先ドメイン IPアドレス Port
img.microtoo\.com 138.128.207.200 443

対応

対応日 対応内容
不明 感染端末をインターネットから遮断
2015年7月10日 漏えいが疑われるパスワードの強制変更*7
不明 警視庁へ被害相談

更新履歴

  • 2015年7月16日 PM 新規作成
  • 2015年7月17日 PM 漏えいした情報に関して追記