ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2015-07-16

東京大学で発生したマルウェア感染についてまとめてみた

| 00:04 |  東京大学で発生したマルウェア感染についてまとめてみたを含むブックマーク

2015年7月16日、東京大学は学内端末がマルウェア感染し、情報が漏えいした可能性について発表しました。ここでは関連情報についてまとめます。

公式発表

発表日発表内容
2015年7月10日【緊急】一部の利用者のパスワード変更について (魚拓)
2015年7月16日東京大学への不正アクセスによる情報流出被害について (その他) (本部情報戦略課) (魚拓)
教育用計算機システムの利用者の情報流出に関するお詫び (魚拓)
サービス利用者の情報流出に関するお詫び(学内からのみアクセス可) (ecc.u-tokyo.ac.jp)
インターネットよりアクセス不可)

タイムライン

日付出来事
2015年6月23日東京大学 管理部門の部署宛に会議開催に関するメールが届く。
東京大学へ不審なメールが届いているとの連絡があった。*1
東京大学職員がメールに添付されたマルウェアを開封し感染
2015年6月30日東京大学がメール管理サーバーの設定が変更されていたことを把握。
2015年7月10日東京大学 情報基盤センターが一部職員、学生のパスワードの強制変更を実施。
2015年7月16日東京大学不正アクセスによる情報漏えいの可能性について発表。

被害状況

マルウェア感染の状況
感染場所台数
情報基盤センター 業務用PC1台
  • 感染端末はインシデント把握後の調査を受け不正なアクセスが確認されたことにより検出。
  • 報道等によればECCS(教育用計算機システム)を管理する端末であった。
不正アクセスの状況

東京大学 学内メールサーバー(メールホスティングサービスか?)が不正アクセスされた。

漏えいした可能性のある情報

不正アクセスを受けて漏えいした可能性のある情報 約36,300件 は次の通り。

  • 端末、及びサービスを提供するサーバー等に保存されていた情報が対象。
  • 東京大学はこれら情報全てではなく「一部」といった表現をしている。
  • 東京大学は発表時点で漏えいした情報の悪用等の二次被害を確認していない。*2
  • 成績や住所は漏えい対象の情報に含まれていない。
対象者漏えいした可能性のある情報件数
平成25,26年度学部入学者
平成24,25年度のシステム利用者(学生)
利用者ID
初期パスワード
氏名
学生証番号
約27,000件
平成24年度以降のシステム利用者(教職員)初期パスワード
所属・身分
氏名
学内連絡先
約4,500件
現在のシステム利用者(学生・教職員)利用者ID
氏名
学生証番号
約1,000件
サーバーの各部署管理担当者ID
初期パスワード
氏名
学内連絡先
約3,800件

外部から確認できる情報漏えいの可能性があるシステム、サービスは次の通り。

情報基盤センターの業務用PCがマルウェア感染し,情報流出被害が確認されました(教育用計算機システムの利用者の情報流出に関するお詫び).当該PCがマルウェア感染したことにより,教育用計算機システム利用者の皆様方の情報の一部が流出した可能性が有ります. 利用者の皆様には大変なご迷惑をおかけしましたことを深くお詫び申し上げます.

http://www.ecc.u-tokyo.ac.jp/

大学の広報ページ 東京大学への不正アクセスによる情報流出被害について (u-tokyo.ac.jp) のとおり,情報基盤センターの業務用PCがマルウェア感染し,情報流出被害が確認されました. メールホスティングサービスの利用者に関しても,情報の一部が流出した可能性があります.

詳しくは サービス利用者の情報流出に関するお詫び(学内からのみアクセス可) (ecc.u-tokyo.ac.jp) をご覧ください.

利用者の皆様には大変なご迷惑をおかけしますことを深くお詫び申し上げます.

なお,本件に関するお問い合わせは,電子メールで incident2015@ecc.u-tokyo.ac.jp までご連絡下さい.

http://mh.itc.u-tokyo.ac.jp/announcement/2015/07/16_2053.html

尚、報道発表と実際は異なると指摘するツイートもある。

発端

感染した端末を通じて大学のメールサーバーの管理コンソール画面の設定が変更されていたため。

  • 管理画面の設定言語が日本語から中国語に変更されていた。*3

原因

東京大学職員がメールに添付されたマルウェアを開封したことによる。

  • メールが届いたのは所属部署宛。*4
  • メールの文面は実在する学内の会議が取り上げられていた。*5
  • 詳細は添付ファイルを見て下さいと添付ファイルの開封を促す内容が記述されていた。
  • 添付ファイルの題名は「会議変更」*6
添付ファイルは「会議変更0617(水).exe」?

「会議変更0617(水).exe」といったファイル名がついたEXEファイルがVTでスキャンされていることを確認した。

ファイル名種類SHA265 (VT)
会議変更0617(水).exe
MarkdownPad.exe
PlugX1ba4f8d569dafdf2c0152d706fc9cc3d6eb646e8ea639c410c8f95e07bc2551e

レポートで確認された通信先は次の通り。(手元で確認できていないため、これ以外の通信が発生する可能性があります。)

通信ドメインIPアドレスPort
img.microtoo\.com138.128.207.200443

対応

対応日対応内容
不明感染端末をインターネットから遮断
2015年7月10日漏えいが疑われるパスワードの強制変更*7
不明警視庁へ被害相談

更新履歴

  • 2015年7月16日 PM 新規作成
  • 2015年7月17日 PM 漏えいした情報に関して追記