piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

経団連事務局端末の不審な通信発生についてまとめてみた

2016年11月10日、経団連は事務局内の複数の端末が海外のサーバーと不審な通信が発生、これの調査にあたっており、情報が漏えいした可能性があると発表しました。ここでは関連情報をまとめます。

インシデントタイムライン

日時 アクター 出来事
10月26日
〜11月2日(判明分)
不明 事務局内から海外のサーバーに対して不審なアクセスが大量に発生
11月4日 委託先情報システム会社 経団連へ不審な通信の発生を連絡。
11月7日 経団連 緊急対策チームが調査方針を決定。
11月10日 経団連 不審な通信を確認したと発表。
同日 経団連 警察へ被害相談。
11月11日 経団連 事務局端末よりマルウェアを発見。
同日 経団連 ウィルス対策ベンダに発見した検体を提供。
同日 経団連 新たな感染端末、不審な通信先を把握。
同日 経団連 事務局LANへのリモートアクセス、会員情報管理システムの運用を停止。
11月14日 経団連 事務局内の局員利用のパスワードを一斉変更。侵入経路が判明。
11月15日 経団連 幹事会にて会員向けに説明後、対外向けに発表。

被害状況

経団連 事務局内端末最大23台から不審な通信が発生していた。パソコンは職員で共用していたものも含まれる。*1

感染台数内訳 台数
11月10日時点の把握台数 12台
11月15日時点の追加把握台数 11台
 この内、通信のログで判明した台数 5台
 この内、踏み台となった台数 3台
 この内、踏み台となった疑いのある台数 3台
不審な通信の発生していた部署

名前が報じられている部署は次の通り。

  • 国際協力本部
  • 国際経済本部
漏えいした可能性のある情報

漏えいした可能性がある情報として次のものが報じられている。経団連はまだ調査中で、特定はしていない。

  • 経団連委員会の会員名簿(1,300社以上)
  • 委員会の議事録
  • 提言に関する文書
  • 官公庁とやり取りしたメール等

これら情報は端末から接続可能なクラウド環境に保存されていた模様。*2

発端

  • 委託先の情報システム会社より、経団連が連絡を受けたことによる。
  • 10月26日〜11月2日の期間を対象として行われた不審な通信がないかの調査が定期的なものであったのかは不明。

原因

経団連の対応状況

11月10日時点の経団連の対応状況は次の通り。

  • 緊急対応チームの設置、当該チームによる調査の実施。
  • 現在も調査中。詳細事実判明次第、改めて公表予定。
  • 警察への届け出は調査結果を受けて判断。
  • 事後対応も含め年度内に終わらせたいと総務本部長がコメント。

11月15日時点でさらに明らかにされた対応状況は次の通り。

  • 会員向けにWeb、FAXにて連絡。
  • 局外から事務局LANへのリモートアクセスの停止、会員情報管理システムの運用停止。
  • 局員のアカウントパスワードを一斉に変更。
  • 感染端末の特定、その後詳細な侵害状況の調査。

感染したマルウェアの関連情報

次の2種類のマルウェアが確認されている。これらはJTB不正アクセス事案でも確認されていたもの。

  • Korplug (PlugX)
  • Elirks

不審な通信先の関連情報

  • 全部で海外、国内の10か所のサーバーに対し、不審な通信の発生が確認された。*4
  • 通信は職員がいない早朝、深夜をふくめ昼夜を問わず大量に発生していた。*5
  • 帰宅時に電源を落としても理由は明らかとなっていないが通信が発生していたとの報道もある。*6

更新履歴

  • 2016年11月10日 PM 新規作成
  • 2016年11月15日 PM 続報反映