2023年8月4日、内閣サイバーセキュリティセンター(NISC)と気象庁はそれぞれ電子メール関連のシステム・機器から不正通信の痕跡が確認され、メールデータの一部が外部に流出した可能性があると公表しました。ここでは関連する情報をまとめます。
政府組織に対しゼロデイ攻撃
- NISCと気象庁及び気象研究所、国立科学博物館、教職員支援機構が各々運用を行っていた電子メール関連システム・機器に脆弱性が存在しており、その脆弱性に関連した不正通信が確認された。
- 今回確認された不正通信により、メールデータの一部が外部に流出した可能性がある。両組織ではメールアドレス等の個人情報が漏えいした可能性を排除できないとして個人情報保護委員会に報告した他、対象者にも個別に連絡を行う。公表時点では流出可能性のある情報の悪用は確認されていないが、NISCでは約5,000件の個人情報が対象に含まれており、流出可能性のある事案が発生したのは初めて。*1 *2
- 影響を受けた当該機器・システムについて、2組織とも同じ機器を使用していた。*3 原因はメーカー側が把握をしていなかった脆弱性に関連するもので、NISCは当該機器の脆弱性を原因と示す証跡が確認されたとしてゼロデイ攻撃を受けたと分析しており、さらに国外でも当該機器の脆弱性を悪用した事案が確認されていると説明。NISCでは、当該機器の脆弱性発覚後に政府機関における使用状況の調査を行っていた。*4
- 影響を受けた機種名や悪用された脆弱性など詳細についてはNISC、気象庁とも開示をしていない。詳細非開示の方針としていることについて、NISCはセキュリティ保安上のためと取材に答えている。*5
| 影響を受けた組織 | 影響を受けたシステム等 | 確認された事象 | 不正通信発生の原因 | 外部流出可能性のある対象 | 流出可能性のある期間 | 当該機器の把握後対応 |
|---|---|---|---|---|---|---|
| 内閣サイバーセキュリティセンター | 電子メール関連システム | 不正通信の痕跡 | メーカーで確認していなかった電子メール関連システムに係る機器の脆弱性 | インターネット経由の送受信メールデータの一部(約5千件の個人情報含む) | 約8か月間 (2022年10月上旬~2023年6月中旬) |
不正通信の原因と疑われる機器を交換 |
| 気象庁及び気象研究所 | メール関連機器 | 脆弱性を狙った不正通信 | メーカーにおいてこれまで確認できていなかったシステムの脆弱性 | 受信メールデータの一部 | 約12か月間 (2022年6月上旬~2023年5月下旬) |
セキュリティ対策強化した機器に全交換 |
| 国立科学博物館 | 電子メール関連システム | 不正通信のおそれのある痕跡 | メーカーにおいて確認できていなかった電子メール関連システムに係る機器の脆弱性 | 電子メールデータ(電子メールアドレス及び電子メールの内容)の一部 | 約7か月 (2022年10月上旬~2023年5月下旬) |
セキュリティ対策を強化した電子メール関連システムの機器へ更新 |
| 教職員支援機構 | 電子メール関連システム | ー | メーカーにおいて確認できていなかった電子メール関連システムに係る機器の脆弱性 | 電子メールデータ(電子メールアドレス及び電子メールの内容)の一部 | 約7か月 (2022年10月31日~2023年6月16日) |
セキュリティ対策を強化した電子メール関連システムの製品への契約の変更 |
Barracuda ESGの脆弱性を悪用か
- 「関係者からの情報」として、NISCで影響を受けたシステムは中国支援の脅威アクターから攻撃を受けた米国企業のものだったと報道。*6
- この脅威アクターは「UNC4841」と呼称されており、これはMandiantが6月15日に公開したBarracuda ESGの脆弱性を悪用した攻撃の分析記事において、既知の脅威グループに帰属させることができなかったとして初めて使用した名称。
- Barracuda は5月23日に 同社製品の Email Security Gateway の特定バージョン (5.1.3.001~9.2.0.006)において、脆弱性 CVE-2023-2868 が存在し悪用する活動が認められたとしてセキュリティ情報を公開。アプライアンスへの影響が認められた利用者に対して通知を行ったとした。さらに6月6日には侵害されたアプライアンスの切り離しと入れ替えを推奨した。7月28日時点で調査は継続中としている。
- CVE-2023-2868は事前の認証なくリモートコマンド実行される恐れがある脆弱性。メールに添付されたファイルのスクリーニング処理にユーザー制御による入力可能な箇所が存在していた。問題となったスクリーニング処理のコードはTARファイル処理の解析を行う次の箇所。変数
$fがTAR内のファイル名を含むユーザー制御変数となっていた。qx{$tarexec -O -xf $tempdir/parts/$part '$f'}; - 攻撃者は細工したTARファイルを添付したメールを攻撃対象の組織に送信し、機器への攻撃を行っていた。Mandiantによれば、この攻撃メールの送信は2022年10月10日頃より送られていた。なお、米国CISAは5月26日にKEVに登録を行っているが、piyokangoは日本国内では公的機関のWebサイト等においてこの脆弱性の注意喚起の発出は確認できなかった。
- Mandiantは少なくとも16か国の多数の官民組織が被害にあったと分析しており、約3分の1は政府機関が占めていた。
- 攻撃はバックドアの設置、データ流出、横展開などが確認されている。攻撃への関連が確認されたマルウエアはSEASPY、SEASIDE、SALTWATER、SUBMARINEなどバックドアとして機能するものが多く、アプライアンス上に設置される。
| マルウエア | 機能概要 |
|---|---|
| SEASPY | バックドア。Barracuda Networks 正規サービスに偽装しPCAP フィルターとして機能。特にSMTPのport 25 port上のトラフィックを監視。 |
| SEASIDE | SMTP デーモン(bsmtpd) 用モジュール。SMTPのHELO/EHLOを監視し、C2 IP アドレスとポートを受領。リバース シェルを確立する外部バイナリに引数として渡す。 |
| SALTWATER | バックドアおよびSMTPデーモン。任意ファイルのアップロードやダウンロード、コマンド実行、プロキシおよびトンネリング機能が存在。 |
| SANDBAR | ルートキット。/procファイルシステムがクエリされた際に表示されるプロセスIDを隠蔽。 |
| SKIPJACK | バックドア。受信メールのヘッダーと件名をリスナーとして登録する。「Content-ID」の内容を実行。 |
| SUBMARINE | バックドア。アプライアンスのSQL DBに設置。root権限、永続性、コマンドコントロール、クリーンアップによる実行を可能にする複数のアーティファクトより構成。 |
| WHIRLPOOL | ユーティリティ。リバースシェル作成のためにSEASPY、SEASIDEで使用。 |
- メールデータの窃取は、TAR形式のファイルにメール関連データをまとめた後、攻撃者のインフラに送信(いくつかの事例ではanonfiles)されていた。さらに特定のユーザー、組織を標的にする収集活動として、ASEAN外務省(MFA)、台湾および香港の外国貿易事務所、学術研究機関のメールドメインやユーザーを標的としたシェルスクリプトが確認されている。
ESGユーザーへの推奨事項
BarracudaやMandiantはESGのユーザーに対して以下の対応を推奨している。
- ESGアプライアンスがセキュリティアップデートされていることを確認。(不明な場合はBrracudaへ問い合わせを行う。)
- 侵害された ESG アプライアンスは使用を中止。Barracudaのサポートへ連絡し、新しいESGの仮想アプラアンスまたはハードウェアアプライアンスを入手し交換。
- ESGアプライアンスに接続されている次の認証情報を変更。また第三者による認証情報や証明書の使用がないか環境全体を総点検。
- 接続されている LDAP/AD 認証情報
- Barracuda Cloud Control
- FTP サーバー
- SMB
- プライベート TLS 証明書
- ネットワーク ログより、Barracuda、Mandiant両社が掲載しているIOC、IPへの通信有無を確認。万一確認された場合は
compliance@barracuda.comに連絡する。またデータ流出や横展開の兆候についても合わせて確認。 - メールログより最初の侵害時期を特定。
- アプライアンスのフォレンジック・イメージをキャプチャし、フォレンジック分析を実施。
関連タイムライン
| 日時 | 出来事 |
|---|---|
| 2022年10月10日 | MandiantがUNC4841による攻撃メールの送信活動を(事後に)確認。 |
| 2023年5月18日 | BarracudaがESGアプライアンスで発生した不審なトラフィックについて警告を受領。 |
| 同日 | BarracudaがMandiantに対して調査支援を依頼。 |
| 2023年5月19日 | BarracudaがUNC4841の活動及び脆弱性 CVE-2023-2868 について確認。 |
| 2023年5月20日 | BarracudaがESGの修正パッチを全てのアプライアンスに対して配信。 |
| 2023年5月21日 | BarracudaがESGへの侵害封じ込め、不正アクセスへの対応をするためアプライアンスにスクリプトをリリース。 |
| 2023年5月23日 | Barracudaが同社製品の脆弱性 CVE-2023-2868を悪用した攻撃が発生しているとしてセキュリティ情報を公開。 |
| 2023年5月24日 | 国立科学博物館へメーカーより脆弱性、修正パッチについて連絡。 |
| 2023年5月26日 | 米国CISAがKEVのカタログにCVE-2023-2868を追加。 |
| 2023年6月6日 | Barracudaが利用者に対してアプライアンスの切り離しと入れ替えを推奨。 |
| 2023年6月13日 | NISCが電子メール関連システムにおいて不正通信の痕跡を確認。 |
| 同日 | 教職員支援機構が電子メール関連システムの保守事業者から脆弱性情報の連絡。 |
| 2023年6月15日 | MandiantがUNC4841によるCVE-2023-2868を悪用した攻撃活動について分析した記事を公開。 |
| 2023年6月14日 | NISCが影響を受けたシステムの運用を停止。機器の交換を実施。 |
| 2023年6月15日 | NISCが他機器への影響調査後、運用を再開。 |
| 2023年6月17日 | 教職員支援機構が電子メール観点システムの機器を切り離し。 |
| 2023年6月21日 | NISCの保守運用事業者がシステム上で稼働する機器の脆弱性が不正通信の原因であったことを示す証跡を確認。 |
| 2023年6月21日 | 国立科学博物館が不正通信の恐れのある痕跡を確認。 |
| 2023年7月5日 | 教職員支援機構が不正アクセスの事実を確認。 |
| 2023年7月6日、14日 | 国立科学博物館が電子メール関連システムの機器を交換。 |
| 2023年7月28日 | 米国CISAが関連するマルウエアの分析レポートを公開。 |
| 2023年8月4日 | NISC、気象庁がメール関連機器等における不正通信発生および個人情報流出の可能性を公表。 |
| 2023年8月21日 | 国立科学博物館が機器調査の結果、マルウエアを確認し機器の脆弱性起因と判断。 |
| 2023年10月19日 | 国立科学博物館がメール関連機器等における不正アクセスと個人情報流出の可能性を公表。 |
| 2023年10月31日 | 教職員支援機構の職員が機器に行った調査よりマルウエアを確認。 |
| 2024年1月9日 | 教職員支援機構がメール関連機器等における不正アクセスと個人情報流出の可能性を公表。 |
公式発表
- 2023年8月5日 内閣サイバーセキュリティセンターの電子メール関連システムからのメールデータの漏えいの可能性について (NISC)
- 2023年8月5日 [PDF] 気象庁及び気象研究所のメール関連機器に対する不正通信の発生について (気象庁及び気象研究所)
- 2023年10月19日 [PDF] 電子メール関連システムへの不正アクセスに伴う個人情報等漏えいのおそれについて (国立科学博物館)
- 2024年1月9日 電子メール関連システムへの不正アクセスに伴う個人情報等漏洩のおそれについて (教職員支援機構)
更新履歴
- 2023年8月7日 AM 新規作成
- 2024年1月10日 AM 国立科学博物館、教職員支援機構を追記
*1:個人情報、漏えい疑い 内閣サイバーセンターに不正アクセス,時事通信,2023年8月4日
*2:政府サイバー司令塔に攻撃 メールアドレス5千件流出か,産経新聞,2023年8月4日
*3:内閣サイバー機関攻撃か…NISC メアド5000件漏えい恐れ,読売新聞,2023年8月5日
*4:NISCにサイバー攻撃、メールデータ5千人分流出か 気象庁も被害,朝日新聞,2023年8月5日
*5:内閣サイバーセキュリティセンターが不正侵入被害、脆弱性突かれメール8カ月漏洩,日経クロステック,2023年8月4日
*6:不正アクセス受けたシステム 同種の攻撃受けた米企業のもの,NHK,2023年8月5日
