piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

2016年6月に複数の組織で確認されたマルウェア感染インシデントについてまとめてみた

6月中旬以降、自治体関連組織を中心に不審な通信の発生やマルウェア感染の被害が複数報道されました。これら複数のインシデントの関連性は現時点で不明ですが、確認したインシデントについてまとめます。

まとめ

報道日時 被害組織 感染台数 発端 原因 対応状況
2016年6月22日 新城市 新城消防署PC2台 不明 不明 市役所を含むネットワーク遮断(6月21日〜22日まで)
同日 静岡市 静岡市役所PC1台 警察からの情報提供 不審メールの開封 初期化済み(6月2日)
情報提供後インターネット接続遮断
同日 御前崎市 1台
(他感染可能性のあるPCあり)
警察からの情報提供 不明 マルウェアの駆除、初期化
同日 三豊市 市役所内PC4台 警察からの情報提供 不明 インターネット接続遮断
2016年6月25日 群馬県 県庁内PC1台 自組織にて検知
外部より情報提供あり
ばらまき型メールの添付ファイル開封 感染詳細の調査中
詳細判明後に公表予定
同日 小山市 小中学校3校のPCがマルウェア感染 警察からの情報提供 標的型メールによるものと推定 感染したマルウェアは除去済み。
情報漏えいの有無について確認中。

感染原因のメール受信時期

感染原因がメールによるものと発表、報じている情報をまとめると次の通り。

被害組織 着弾時期
静岡市 2016年6月1日
群馬県 2016年6月2日
小山市 2016年6月3日〜15日

外部からの情報提供時期

被害組織 情報提供時期 情報提供元
新城市 不明(6月21日に判明) 不明
静岡市 2016年6月21日18時頃 静岡県
御前崎市 2016年6月21日 静岡県
三豊市 2016年6月21夕方 香川県警
群馬県 2016年6月21日 不明
小山市 2016年6月23日 栃木県警

各事案詳細

新城市
  • 2016年5月末〜6月7日にかけて不審な通信の発生が確認された。*1
  • 当該事案を受け公式サイトも2016年6月21日16時〜22日 17時15分まで閉鎖された。
静岡市
  • 標的型メールと発表
  • 標的型攻撃を受けた可能性があると静岡県警より情報提供
  • 感染したのは静岡市 市役所広報課PC1台。
  • 件名に「確認してください」と書かれたメールによるもの
  • メールは個人のアドレス宛に届いたもの。
  • 開封(感染)後、動作が不安定になり翌日6月2日にPCは初期化された
  • 開封後に不正な通信が2回発生した。
御前崎市
  • 御前崎市のシステムへの影響は確認されていない。
三豊市
  • ばらまき型メールの攻撃を受けたと発表
  • 香川県警より「今月2日〜6日にかけサーバーへの不正アクセスが確認された」と情報提供
  • 1574台の内、4台で感染の疑いがある通信記録を確認。
  • インターネットは安全性が確認されるまで遮断
  • 公式サイトも閲覧不可能な状態となっている
群馬県
  • ばらまき型メールと報道
  • メールには「お疲れ様です。請求書をお送りします。」等と書かれていた。
  • 2016年6月2日〜6日かけて不審な通信が発生。
  • 感染PCには観光物産課とやり取りのあった企業、県民318名分の個人情報(氏名、住所、電話番号等)が含まれていた。
小山市
  • 標的型メールと報道 *2
  • 「請求文書」等と書かれたもの。 *3
  • 小学校1校、中学校2校で感染。*4
  • 職員が学校内PCで添付ファイルを開封、その後動作が不安定に。
  • 市教委のサーバーより不正通信の発生が確認されたとの情報提供を栃木県警より受領。
  • 群馬県警はサイバーパトロール中に確認したとの報告。
  • 不正通信回数は合計363回。
  • PCに保存されていた最大約1600名分の児童、生徒の個人情報が漏えいした可能性がある。
  • その他には学校の教育計画等のデータも含まれる。

更新履歴

  • 2016年6月27日 AM 新規作成

-2016年6月29日 PM 続報追記 (三豊市Webサイト復旧)