piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

大陽日酸への不正アクセスについてまとめてみた

2017年1月1日に読売新聞はガス大手の大陽日酸不正アクセスが行われたと報じました*1。ここでは報道情報を中心に関連情報をまとめます。

公式発表

インシデントタイムライン

日時 アクター 出来事
2015年10月下旬〜11月上旬 大陽日酸 機器のメンテナンスを実施。
メンテナンス期間中 不明 大陽日酸が外部から不正アクセスを受け侵入されたとみられる
遅くとも2015年11月上旬以降 不明 不正アクセスとみられる不審な挙動が発生
2016年3月頃 不明 大陽日酸のサーバーの1つで外部へ不正な通信が発生
2016年3月11日 大陽日酸 内部情報を格納したサーバーへ不審な接続があることを確認
2016年3月11日〜4月28日 大陽日酸 初期対応、及び被害状況の調査を実施
2016年4月15日 不明 大陽日酸への不正アクセスが確認された最終日
2016年4月28日 大陽日酸 警視庁へ被害を相談*2
2016年4月29日 大陽日酸 不正アクセスを受けたサーバーから情報漏えいの可能性があることを把握
警視庁公安部 不正アクセス禁止法違反の疑いで捜査を開始。
2017年1月1日 読売新聞 大陽日酸不正アクセスが行われたと報道
2017年1月5日 大陽日酸 サイバー攻撃による不正アクセス被害を発表

被害状況

  • 2016年3月11日の発覚後から4月28日までにサーバーから少なくとも4種類のマルウェアに感染していることが確認された。
  • 管理者権限が奪取され、外部から遠隔操作が可能な状態であった。
  • システム内のサーバー600数十台に接続が可能な状態となっていた。
  • 日経の取材に対し大陽日酸は事実を認め、不審メールが届く等実被害は確認されていないとコメント。*3
  • この不正アクセスに伴う社内、及び取引先に対して不審メールは確認されていないと大陽日酸は発表。
不審な接続の状況
  • サーバー1台が2回にわたって外部へ不正通信を行っていた。
  • 当該サーバーでは約1GBの大量データが複数の圧縮ファイルにまとめられていた。
  • トラフィック監視(sFlow)を通じ、漏えいしたファイルの特定は行われている。
圧縮されていたデータの中身
  • 大陽日酸、及び同社グループ国内従業員、及び退職者11,105件の社員情報が含まれていた。

少なくとも次の社員情報が含まれていた模様。

  • 会社名(漢字・ローマ字)
  • 氏名(漢字・ローマ字)
  • 職位
  • 所属先
  • メールアドレス

次の社員に係る情報、及び取引先関係の情報は含まれていないと発表されている。

  • 住所
  • 電話番号
  • 家族構成

発生当時ログが十分に保存されていなかった
  • 大陽日酸では発生当時、機器をメンテナンスしていたとこから、ログが詳細に保存される設定となっていなかった。*4
  • メンテナンス期間中はログの保存だけでなく、SOCによる監視も停止されていた。*5
  • マルウェアの感染時期、経路、侵入の経緯などが遡って調べることが出来なかった。
  • マルウェアを除去したサーバーとは別のサーバーに現在もマルウェアが潜んでいる可能性がある。
  • 読売新聞の取材に対し、残っているか不明なマルウェアの検出には費用、時間がかかるため、外部への不正通信の監視を強化する対策をとったと説明。

三上氏の取材によれば1年から5年保存されていたログは次のもの。

発端

  • 内部情報が保存されたサーバーに対して管理者権限を使用した不審な接続が行われたことを大陽日酸が導入している監視サービスを通じ確認したことによる。

大陽日酸の対応

  • 検知したマルウェア4種の駆除
  • サイバー攻撃早期検知のための監視体制強化
  • サーバー管理者権限の奪取を防止する対策強化
  • 不正な遠隔操作を防止する対策強化

更新履歴

  • 2017年1月1日 AM 新規作成
  • 2017年1月2日 PM 続報追記
  • 2017年1月4日 AM 続報追記
  • 2017年1月5日 PM 続報追記
  • 2017年1月10日 PM 続報追記

*1:ガス大手にサイバー攻撃,読売新聞,2017年1月1日朝刊

*2:ガス大手にサイバー攻撃 警視庁が捜査,産経ニュース,2017年1月1日アクセス:魚拓

*3:大陽日酸にサイバー攻撃 内部情報流出か,日本経済新聞,2017年1月2日アクセス:魚拓

*4:大陽日酸 通信記録の保存不十分 サイバー攻撃経緯調査できず,読売新聞,2017年1月4日朝刊39面

*5:産業ガス大手の情報漏えい事件,読売新聞,2017年1月10日アクセス