2016年10月10日、富山大学 研究推進機構 水素同位体科学研究センターで標的型攻撃による情報漏えいが発生したと読売新聞が報じました。富山大学は同日にこの報道を認める発表を行っています。ここでは関連情報をまとめます。
富山大学の公式発表
- 2016年10月10日 「富山大学水素同位体科学研究センター」における標的型サイバー攻撃に関する報道について (魚拓)
- 2016年10月11日 富山大学水素同位体科学研究センターに対する標的型サイバー攻撃について (魚拓)
インシデントタイムライン
インシデント発覚前
日付 | 出来事 |
---|---|
2015年11月5日 | 富山大学に不審なメールが届く。(1回目) |
2015年11月17日 | 富山大学に不審なメールが届く。(2回目) |
2015年11月24日 | 教授と非常勤職員に標的型攻撃メールが届く。 |
同日 | 非常勤職員のPCがマルウェアに感染。 |
2015年11月24日〜2016年6月14日 | 感染端末が4か所の外部サーバーと通信。 |
2016年11月26日〜2016年2月29日 | 何者かにより少なくとも1千以上の圧縮ファイルが作成される。 |
2016年3月10日 | 何者かにより新たな圧縮ファイルが作成される。 |
2016年6月14日 | 外部機関から不審な通信が発生しているとの通報。 |
インシデント発覚後
日付 | 出来事 | |
---|---|---|
2016年6月14日 | 富山大学がインシデント発生を把握。 | |
同日 | 富山大学が通信ログの解析(学内調査)を開始。 | |
2016年6月16日 | 富山大学が文部科学省に事案概要の報告。(第一報) | |
同日 | 富山大学が感染端末内の保有情報の調査、分析を開始。 | |
2016年6月27日 | 通信ログの解析(学内調査)が終了。 | |
同日 | 富山大学が文部科学省に追加情報を報告。(第二報) | |
2016年7月6日 | 外部専門業者による詳細な解析作業が開始。 | |
2016年8月3日 | 富山大学が感染端末の分析作業を終了。 | |
2016年8月31日 | 富山大学が外部専門業者かr調査結果の報告を受領。 | |
同日 | 富山大学が漏えいした情報の内容を確認、評価。 | |
2016年9月27日 | 富山大学が文部科学省へ調査状況を報告。 | |
2016年10月7日 | 読売新聞が富山大学へ当該事案に関する取材。 | |
同日 | 漏えいした可能性のある関係者に被害連絡を開始。 | |
2016年10月10日 | 読売新聞が富山大学の情報漏えいについて報道。 | |
同日 | 富山大学が報道記事の内容を認める内容の掲載。 | |
2016年10月11日 | 富山大学が事案の概要を発表。 | |
時期不明 | 富山大学が警察へ相談。 | |
時期不明 | 文部科学省が富山大学に影響調査をするよう要請。 |
被害状況
被害を受けたのは富山大学 研究推進機構 水素同位体科学研究センター
次の情報が漏えいした可能性がある。
感染端末に含まれていた情報
感染した端末には次の情報が含まれていた。
- 1994年〜2016年6月13日までの電子データが保存されていた。
- 全ファイルの内、展開できたファイルは41,706個。漏えいの可能性がある情報はこの展開済みファイルを精査、確認したもの。
項目 | 個数、サイズ |
---|---|
全フォルダー数 | 7,034個 |
全ファイル数 | 59,138個 |
総データ容量 | 40.2GB |
研究成果は既に発表済みかその予定のデータ
- 富山大学によれば漏えいした可能性のある研究成果は学会等で既に発表済み、または発表予定のもので、機密情報には該当しない。
次の項目が該当する。
- 外部資金申請関係の情報
- 学会発表の情報
- 実験データ等の研究に関する情報
漏えいした個人情報の内訳
1,492名分の内訳は次の通り。
項目 | 人数 |
---|---|
富山大学学生 | 15人 |
他大学及び試験研究機関所属 | 1,316人 |
企業(企業の研究所を含む) | 52人 |
官公庁関係 | 3人 |
その他 | 106人 |
漏えいした可能性のある個人情報の項目
報道によれば少なくとも次の項目が漏えいした可能性がある。*2 また、漏えいした可能性のある情報が悪用されたとの報告は現時点でない。*3
- 氏名
- 住所
- メールアドレス
圧縮ファイルが作成されていた
複数の圧縮ファイルが確認されている。
圧縮ファイル | 作成時期 | 内容 |
---|---|---|
少なくとも1千以上の圧縮ファイルが作成されていた痕跡 | 2015年11月〜12月末*4 | 暗号化されており内容は確認できていない。 |
別方式で圧縮されたファイル | 2016年3月頃 | 汚染水除去方法などの研究成果が含まれていた。 |
発端
- 外部機関より、「不審な通信が発生している」との通報を受けたことによる。
標的型攻撃メールの関連情報
届いたメールの内容
報道によれば次のメールが届いたとされる。*9
- 送信元は東京の有名私立大学の学生を名乗っていた。
- 以前学会で出会った学生であると自己紹介。
- 自分が今研究していることで質問があるといった内容。
- 詳細は添付ファイルを確認してくれと誘導。
文面一部個所は不自然な日本語
文中には一部不自然な点が存在していた模様。報じられていたものは次の通り。
- 「尊敬していた先生」⇒「尊敬に思ってた先生」
- 「プロジェクト」⇒「プロゼックト」
次の内容で送信された可能性がある。
こんにちは、先生。
前回の学会でお目にかかった〇〇と申します。
学会では短い時間お話ししただけですが、ずっと尊敬に思っていた先生にお会いすることができてすごく嬉しかったです。
実は、僕が今研究しているプロゼックトに関して少しお伺いしたいことがありまして失礼ながらもメールお送りします。
詳細な質問は添付いたします。
この分野に詳しい先生から僕のプロゼックトについてご意見を伺いできればこれからの研究に大きな力になると思います。
お忙しいなか、突然のメールで申し訳ございませんが、何卒よろしくお願いいたします。
ありがとうございます。
早稲田大学 〇〇〇〇〇
〇〇〇〇〇@yahoo.co.jp
標的型攻撃メールの送信先は2名
報道によれば標的型攻撃メールが届いたセンター関係者は2名。
標的型攻撃メールの送信先 | 開封状況 |
---|---|
センターの教授 | 開封せず |
トリチウム理工学専門の非常勤職員 | 開封し感染 |
感染した非常勤職員は外部からの指摘を受けるまで異変に気付かなかった模様。
スタッフのメールアドレスは公開されている
同センターのスタッフ一覧には教授、講師をはじめスタッフの連絡先が掲載されている。
不審な通信先の関連情報
- 不審な通信先(外部サーバー)は全部で4か所が確認されている。
- そのうち2か所と大量のデータ通信が発生しており、ここから情報が漏えいした可能性が疑われている。
接続期間 | ドメイン | 確認できたIPアドレス | 補足情報 |
---|---|---|---|
2015年11月24日〜2016年4月29日 | supportservice247.com | 216.158.85.49 209.99.40.222 209.99.40.223 |
なし |
2015年11月26日〜2016年2月29日 | requestword.com | 204.14.121.60 69.30.214.166 209.99.40.222 209.99.40.223 |
1個2MBのRAR形式ファイル1,000個以上の作成及び削除の痕跡あり。 同時間帯に大量データ(8GB以上)の通信発生。 |
2016年2月29日〜2016年6月14日 | enewsdatabank.com | 182.173.76.130 | ZIP形式のファイルを作成。 同時間帯に大量データの通信発生。 |
2016年4月28日、2016年6月14日 | housemarket21.com | 182.239.43.88 205.164.14.72 |
なし |
不審な通信先はJPCERT/CCの解析記事に掲載されていた
JPCERT/CCが分析センターだよりにて、6月23日にAsruexの分析記事を掲載しており、Appendixの通信先一覧に富山大学が把握した通信先2つが含まれていた。
vodsx.net office365-file.com service365-team.com datainfocentre.com eworldmagazine.org supportservice247.com seminarinfocenter.net vdswx.net housemarket21.com product-report24.com requestpg.net secu-docu.net send-error.net send-form.net wzixx.net login-confirm.com 2.gp 2.ly online-dropbox.com sendspaces.net institute-secu.org pb.media-total.org response-server.com enewscenters.com sbidnest.com servicemain.com
またSymantecのWriteupでもこの通信先の存在を確認できる。
不審な通信先にアクセスすると1個を除いて「58.158.177.102」に接続し、既に無害化されているのか「sinkhole」と表示される。なお、このIPアドレスは日本。
2016年5月に入ってすぐ接続できなくなり、一月ほどたった6月中旬にIPアドレスが変更された模様。
更新履歴
- 2016年10月11日 AM 新規作成
- 2016年10月12日 AM 続報追記
- 2016年10月12日 AM JPCERT/CCの通信先リストに「4つすべてが含まれている」と記載していたが含まれていたのは2つだけであったため訂正。
- 2016年10月14日 PM 続報追記 (読売新聞の記事反映)
*1:富山大にサイバー攻撃 放射性物質研究などの情報流出か,朝日新聞,2016年10月11日アクセス:魚拓
*2:富山大の研究施設にサイバー攻撃 情報流出か,NHK,2016年10月11日アクセス:魚拓
*3:教員PCの個人情報流出、富山大 ウイルス感染、約半年間気付かず,共同通信,2016年10月11日アクセス:魚拓
*4:2016年2月までにとする報道もある。
*5:核融合研究成果、サイバー攻撃で情報流出か 富山大学の「水素同位体科学研究センター」,東洋経済 ONLINE,2016年10月11日アクセス:魚拓
*6:大学のサイバー防衛急務〜核融合関連研究に標的型攻撃,読売新聞,2016年10月14日アクセス
*7:サイバー攻撃で情報流出か=トリチウム研究者のPC−富山大施設,時事通信,2016年10月11日アクセス
*8:富山大 “核”研究施設で個人情報など流出,日テレNEWS24,2016年10月11日:魚拓
*9:富山大攻撃、私大生装う不自然な日本語メール,読売新聞,2016年10月12日アクセス