2016年5月24日、慶應義塾大学は同大学職員に文部科学省を装ったメールが届いたとして注意喚起を行いました。関連情報をまとめます。
他大学の注意喚起
- 東京工業大学 2016年5月25日 文科省を騙ったメール攻撃に注意して下さい (魚拓)
- 中央大学 2016年5月26日 【注意喚起】文部科学省を騙ったウィルス添付メールについて (魚拓)
- 首都大学東京 2016年5月26日 【注意喚起】文科省を騙った標的型攻撃メールの到達について
- 早稲田大学 2016年5月26日 【注意】文科省を騙るフィッシングメールご注意ください (魚拓)
- 青山学院大学 2016年5月27日 【注意喚起】文部科学省を装った添付ファイル付きの不審なメールについて (魚拓)
- 上智大学 2016年5月27日 【注意喚起】文科省を装った標的型メールについて (魚拓)
インシデントタイムライン
日時 | 出来事 |
---|---|
2016年5月23日午後〜24日 | 慶應大学職員になりすましメールが届く。 |
2016年5月24日 20時35分 | 何者かが自民党佐賀県連メールサーバーへ不正アクセス |
〃 | 慶應大学職員が学内のセキュリティ部門へ届け出。 |
〃 | 慶應義塾大学が注意喚起を公開。 |
2016年5月25日夕方 | IPAが自民党佐賀県連へメールサーバーが悪用されていると連絡。 |
同日 | 自民党佐賀県連が委託業者へ調査を依頼。その後不正アクセス被害が発覚。 |
〃 | 文科省が全国の大学、研究機関へ注意喚起。 |
2016年5月26日 | 慶應義塾大学が注意喚起を更新。 |
被害状況
- 慶應義塾大学、自民党佐賀県連ともに情報漏えいの被害は確認されていない。
- 慶應義塾大学の職員6名へなりすましメールが届いたことが確認されている。
- 慶應義塾大学の一部職員が開封(メールか、添付ファイルか不明)したが、セキュリティシステムが作動したことにより被害を受けずに済んだ。
- 現在のところなりすましメールは慶應義塾大学でのみ確認されている。
これ普通に騙されそうだった。。みなさまお気をつけてください / “標的型攻撃メールに関する注意喚起 | 慶應義塾 湘南藤沢ITC” https://t.co/os49CJMsLm
— Hirotaka Nakajima (@nunnun) 2016年5月25日
発端
なりすましメールの詳細
件名
- 【文科省(ご連絡)】新学術領域研究の中間・事後評価について
差出人
次の2種類が存在する?
- kenjo@mext.go.jp
- kenjo@mext.go.jp <*****-saga-saga-saga.com@saga-*****.com>
添付ファイル
添付ファイルがつけられており、2種類が確認されている。
- 「中間-事後評価に係る様式20160524.zip」
- 「中間-事後評価に係る様式201605.zip」
- ファイルサイズ 約2.0MB
- 添付ファイルにはマルウェアが含まれていた。
- 更新前の注意喚起には「ESET等のウィルス対策ソフト」という表記あり。同ソフトで検出ができた可能性。
「中間-事後評価に係る様式201605.zip」はVTに2016年5月26日11時頃アップされていた。
- zip fdafae57f8003c3d81b99518b26e270226fe3afa59a41e5ac2ec8d99d4ad3d5e
- 展開後(検体名よりPlugXと思われる) d580732b1d7c22b8b4c532db657cd92b3ad5da03b71c56ceb59fa9234e9a6697
この検体から確認できる通信先は次の通り。
- www[.]microsoftupgrade[.]instanthq[.]com(188[.]42[.]255[.]190)
- 同一IPアドレスから「officeproducts[.]authorizeddns[.]org」も確認できた。
本文
平成26・27・28年度採択研究領域の領域代表者各位 お世話になっております。 ************************ 本年度、中間・事後評価のスキームを見直すとともに、 評価報告書の様式の見直しを実施いたしましたので、 来年又は再来年に中間評価又は事後評価を実施することになります 先生方に、本変更点についてご報告させていただきます。 変更点につきましては、添付の事務連絡をご参照ください。 また、 実際の評価時期に作成依頼する際には変更の可能性がございますが、 本年度は使用いたしました様式をご参考までに添付いたします。 特に、今回より追加いたしました別添の"データシート"については、 来年以降は"全研究期間"について記載いただくことを予定しておりますので、 現時点よりデータ収集・整理についてご準備いただけますようお願いいたします。 なお、評価に関する例年のスケジュールは以下の通りとなっております。 5月半ば 評価報告書(添付のもの)の作成を依頼(領域代表者←文科省) 6月半ば 評価報告書の提出(領域代表者→文科省) 9月〜10月 ヒアリング 12月〜1月 評価結果通知 特に、評価報告書の提出時期と、成果報告書(様式C−19及び冊子体の両方) の提出時期が近接しておりますので、来年は例年5月半ばの作成依頼を早めに行い 、 先生方の準備期間に余裕が出るように配慮する予定ではありますので、 ご対応方よろしくお願いいたします。 今後ともどうぞよろしくお願い申し上げます。 <本件担当> 文部科学省研究振興局学術研究助成課 ************************ ************************
更新履歴
- 2016年5月27日 AM 新規作成
- 2016年5月27日 AM タイムライン修正、24日のキャッシュ画像追加、検体情報追加
- 2016年5月28日 PM 誤植を訂正、関連リンク追加
*1:セキュリティ会社との報道もある
*2:慶応大に文科省装うウイルスメール 自民党佐賀県連のアドレスも表記、悪用か,佐賀新聞,2016年5月27日アクセス:魚拓
*3:文科省装うウイルスメール 慶応大職員に届く,NHK,2016年5月27日アクセス:魚拓
*4:文科省装うウイルスメール、慶応大教職員6人に,読売新聞,2016年5月28日アクセス