piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

富山大学 水素同位体科学研究センターへの不正アクセスについてまとめてみた

2016年10月10日、富山大学 研究推進機構 水素同位体科学研究センターで標的型攻撃による情報漏えいが発生したと読売新聞が報じました。富山大学は同日にこの報道を認める発表を行っています。ここでは関連情報をまとめます。

インシデントタイムライン

インシデント発覚前
日付 出来事
2015年11月5日 富山大学に不審なメールが届く。(1回目)
2015年11月17日 富山大学に不審なメールが届く。(2回目)
2015年11月24日 教授と非常勤職員に標的型攻撃メールが届く。
同日 非常勤職員のPCがマルウェアに感染。
2015年11月24日〜2016年6月14日 感染端末が4か所の外部サーバーと通信。
2016年11月26日〜2016年2月29日 何者かにより少なくとも1千以上の圧縮ファイルが作成される。
2016年3月10日 何者かにより新たな圧縮ファイルが作成される。
2016年6月14日 外部機関から不審な通信が発生しているとの通報。
インシデント発覚後
日付 出来事
2016年6月14日 富山大学がインシデント発生を把握。
同日 富山大学が通信ログの解析(学内調査)を開始。
2016年6月16日 富山大学文部科学省に事案概要の報告。(第一報)
同日 富山大学が感染端末内の保有情報の調査、分析を開始。
2016年6月27日 通信ログの解析(学内調査)が終了。
同日 富山大学文部科学省に追加情報を報告。(第二報)
2016年7月6日 外部専門業者による詳細な解析作業が開始。
2016年8月3日 富山大学が感染端末の分析作業を終了。
2016年8月31日 富山大学が外部専門業者かr調査結果の報告を受領。
同日 富山大学が漏えいした情報の内容を確認、評価。
2016年9月27日 富山大学文部科学省へ調査状況を報告。
2016年10月7日 読売新聞が富山大学へ当該事案に関する取材。
同日 漏えいした可能性のある関係者に被害連絡を開始。
2016年10月10日 読売新聞が富山大学の情報漏えいについて報道。
同日 富山大学が報道記事の内容を認める内容の掲載。
2016年10月11日 富山大学が事案の概要を発表。
時期不明 富山大学が警察へ相談。
時期不明 文部科学省富山大学に影響調査をするよう要請。

被害状況

被害を受けたのは富山大学 研究推進機構 水素同位体科学研究センター

次の情報が漏えいした可能性がある。

感染端末に含まれていた情報

感染した端末には次の情報が含まれていた。

  • 1994年〜2016年6月13日までの電子データが保存されていた。
  • 全ファイルの内、展開できたファイルは41,706個。漏えいの可能性がある情報はこの展開済みファイルを精査、確認したもの。
項目 個数、サイズ
全フォルダー数 7,034個
全ファイル数 59,138個
総データ容量 40.2GB
研究成果は既に発表済みかその予定のデータ
  • 富山大学によれば漏えいした可能性のある研究成果は学会等で既に発表済み、または発表予定のもので、機密情報には該当しない。

次の項目が該当する。

  • 外部資金申請関係の情報
  • 学会発表の情報
  • 実験データ等の研究に関する情報
漏えいした個人情報の内訳

1,492名分の内訳は次の通り。

項目 人数
富山大学学生 15人
他大学及び試験研究機関所属 1,316人
企業(企業の研究所を含む) 52人
官公庁関係 3人
その他 106人
漏えいした可能性のある個人情報の項目

報道によれば少なくとも次の項目が漏えいした可能性がある。*2 また、漏えいした可能性のある情報が悪用されたとの報告は現時点でない。*3

  • 氏名
  • 住所
  • メールアドレス
圧縮ファイルが作成されていた

複数の圧縮ファイルが確認されている。

圧縮ファイル 作成時期 内容
少なくとも1千以上の圧縮ファイルが作成されていた痕跡 2015年11月〜12月末*4 暗号化されており内容は確認できていない。
別方式で圧縮されたファイル 2016年3月頃 汚染水除去方法などの研究成果が含まれていた。
  • 圧縮ファイルは攻撃者によって作成されたものとみられている。
  • 大量のデータ通信発生時期と圧縮ファイルの作成時期が近い。*5
  • ファイル容量の大きさより、感染したPCに保存されていたすべての情報が圧縮ファイルにまとめられた可能性がある。
  • IAEA」というキーワードを用いて検索を行っていた形跡が確認されている。
漏えいした恐れのあるファイル名の一部

次のファイル名を含むデータが漏えいした恐れがある。*6

原因

  • センター非常勤職員へ届いた標的型攻撃メールの添付ファイルを開封したことにより、同職員のPCがマルウェアに感染したため。

発端

  • 外部機関より、「不審な通信が発生している」との通報を受けたことによる。

インシデントへの対処状況

  • 文部科学省へ概要報告 *7
  • 内部調査の実施
  • 警察への相談 *8
  • 情報漏えいの可能性のある関係者への連絡

標的型攻撃メールの関連情報

届いたメールの内容

報道によれば次のメールが届いたとされる。*9

  • 送信元は東京の有名私立大学の学生を名乗っていた。
  • 以前学会で出会った学生であると自己紹介。
  • 自分が今研究していることで質問があるといった内容。
  • 詳細は添付ファイルを確認してくれと誘導。
文面一部個所は不自然な日本語

文中には一部不自然な点が存在していた模様。報じられていたものは次の通り。

  • 「尊敬していた先生」⇒「尊敬に思ってた先生」
  • 「プロジェクト」⇒「プロゼックト」

次の内容で送信された可能性がある。

こんにちは、先生。
前回の学会でお目にかかった〇〇と申します。
学会では短い時間お話ししただけですが、ずっと尊敬に思っていた先生にお会いすることができてすごく嬉しかったです。
実は、僕が今研究しているプロゼックトに関して少しお伺いしたいことがありまして失礼ながらもメールお送りします。
詳細な質問は添付いたします。
この分野に詳しい先生から僕のプロゼックトについてご意見を伺いできればこれからの研究に大きな力になると思います。
お忙しいなか、突然のメールで申し訳ございませんが、何卒よろしくお願いいたします。
ありがとうございます。
早稲田大学 〇〇〇〇〇
〇〇〇〇〇@yahoo.co.jp

標的型攻撃メールの送信先は2名

報道によれば標的型攻撃メールが届いたセンター関係者は2名。

標的型攻撃メールの送信先 開封状況
センターの教授 開封せず
トリチウム理工学専門の非常勤職員 開封し感染

感染した非常勤職員は外部からの指摘を受けるまで異変に気付かなかった模様。

スタッフのメールアドレスは公開されている

同センターのスタッフ一覧には教授、講師をはじめスタッフの連絡先が掲載されている。

ここにはメールアドレスも掲載されていた。画像は例として阿部センター長の掲載情報。

不審な通信先の関連情報

  • 不審な通信先(外部サーバー)は全部で4か所が確認されている。
  • そのうち2か所と大量のデータ通信が発生しており、ここから情報が漏えいした可能性が疑われている。
接続期間 ドメイン 確認できたIPアドレス 補足情報
2015年11月24日〜2016年4月29日 supportservice247.com 216.158.85.49
209.99.40.222
209.99.40.223
なし
2015年11月26日〜2016年2月29日 requestword.com 204.14.121.60
69.30.214.166
209.99.40.222
209.99.40.223
1個2MBのRAR形式ファイル1,000個以上の作成及び削除の痕跡あり。
同時間帯に大量データ(8GB以上)の通信発生。
2016年2月29日〜2016年6月14日 enewsdatabank.com 182.173.76.130 ZIP形式のファイルを作成。
同時間帯に大量データの通信発生。
2016年4月28日、2016年6月14日 housemarket21.com 182.239.43.88
205.164.14.72
なし
不審な通信先はJPCERT/CCの解析記事に掲載されていた

JPCERT/CCが分析センターだよりにて、6月23日にAsruexの分析記事を掲載しており、Appendixの通信先一覧に富山大学が把握した通信先2つが含まれていた。

 vodsx.net
 office365-file.com
 service365-team.com
 datainfocentre.com
 eworldmagazine.org
 supportservice247.com
 seminarinfocenter.net
 vdswx.net
 housemarket21.com
 product-report24.com
 requestpg.net
 secu-docu.net
 send-error.net
 send-form.net
 wzixx.net
 login-confirm.com
 2.gp
 2.ly
 online-dropbox.com
 sendspaces.net
 institute-secu.org
 pb.media-total.org
 response-server.com
 enewscenters.com
 sbidnest.com
 servicemain.com

またSymantecのWriteupでもこの通信先の存在を確認できる。

不審な通信先にアクセスすると1個を除いて「58.158.177.102」に接続し、既に無害化されているのか「sinkhole」と表示される。なお、このIPアドレスは日本。

2016年5月に入ってすぐ接続できなくなり、一月ほどたった6月中旬にIPアドレスが変更された模様。

更新履歴

  • 2016年10月11日 AM 新規作成
  • 2016年10月12日 AM 続報追記
  • 2016年10月12日 AM JPCERT/CCの通信先リストに「4つすべてが含まれている」と記載していたが含まれていたのは2つだけであったため訂正。
  • 2016年10月14日 PM 続報追記 (読売新聞の記事反映)