ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2016-10-10

富山大学 水素同位体科学研究センターへの不正アクセスについてまとめてみた

| 23:36 |  富山大学 水素同位体科学研究センターへの不正アクセスについてまとめてみたを含むブックマーク

2016年10月10日、富山大学 研究推進機構 水素同位体科学研究センターで標的型攻撃による情報漏えいが発生したと読売新聞が報じました。富山大学は同日にこの報道を認める発表を行っています。ここでは関連情報をまとめます。

富山大学の公式発表

インシデントタイムライン

インシデント発覚前
日付出来事
2015年11月5日富山大学に不審なメールが届く。(1回目)
2015年11月17日富山大学に不審なメールが届く。(2回目)
2015年11月24日教授と非常勤職員に標的型攻撃メールが届く。
同日非常勤職員のPCがマルウェア感染
2015年11月24日〜2016年6月14日感染端末が4か所の外部サーバー通信
2016年11月26日〜2016年2月29日何者かにより少なくとも1千以上の圧縮ファイルが作成される。
2016年3月10日何者かにより新たな圧縮ファイルが作成される。
2016年6月14日外部機関から不審な通信が発生しているとの通報。
インシデント発覚後
日付出来事
2016年6月14日富山大学インシデント発生を把握。
同日富山大学通信ログの解析(学内調査)を開始。
2016年6月16日富山大学文部科学省に事案概要の報告。(第一報)
同日富山大学感染端末内の保有情報の調査、分析を開始。
2016年6月27日通信ログの解析(学内調査)が終了。
同日富山大学文部科学省に追加情報を報告。(第二報)
2016年7月6日外部専門業者による詳細な解析作業が開始。
2016年8月3日富山大学感染端末の分析作業を終了。
2016年8月31日富山大学が外部専門業者かr調査結果の報告を受領。
同日富山大学が漏えいした情報の内容を確認、評価。
2016年9月27日富山大学文部科学省へ調査状況を報告。
2016年10月7日読売新聞富山大学へ当該事案に関する取材
同日漏えいした可能性のある関係者に被害連絡を開始。
2016年10月10日読売新聞富山大学の情報漏えいについて報道
同日富山大学報道記事の内容を認める内容の掲載。
2016年10月11日富山大学が事案の概要を発表。
時期不明富山大学が警察へ相談。
時期不明文部科学省富山大学に影響調査をするよう要請。

被害状況

被害を受けたのは富山大学 研究推進機構 水素同位体科学研究センター

次の情報が漏えいした可能性がある。

感染端末に含まれていた情報

感染した端末には次の情報が含まれていた。

  • 1994年〜2016年6月13日までの電子データが保存されていた。
  • 全ファイルの内、展開できたファイルは41,706個。漏えいの可能性がある情報はこの展開済みファイルを精査、確認したもの。
項目個数、サイズ
フォルダー7,034個
全ファイル数59,138個
総データ容量40.2GB
研究成果は既に発表済みかその予定のデータ
  • 富山大学によれば漏えいした可能性のある研究成果は学会等で既に発表済み、または発表予定のもので、機密情報には該当しない。

次の項目が該当する。

漏えいした個人情報の内訳

1,492名分の内訳は次の通り。

項目人数
富山大学学生15人
他大学及び試験研究機関所属1,316人
企業(企業の研究所を含む)52人
官公庁関係3人
その他106人
漏えいした可能性のある個人情報の項目

報道によれば少なくとも次の項目が漏えいした可能性がある。*2 また、漏えいした可能性のある情報が悪用されたとの報告は現時点でない。*3

圧縮ファイルが作成されていた

複数の圧縮ファイルが確認されている。

圧縮ファイル作成時期内容
少なくとも1千以上の圧縮ファイルが作成されていた痕跡2015年11月〜12月末*4暗号化されており内容は確認できていない。
別方式で圧縮されたファイル2016年3月頃汚染水除去方法などの研究成果が含まれていた。
  • 圧縮ファイルは攻撃者によって作成されたものとみられている。
  • 大量のデータ通信発生時期と圧縮ファイルの作成時期が近い。*5
  • ファイル容量の大きさより、感染したPCに保存されていたすべての情報が圧縮ファイルにまとめられた可能性がある。
  • IAEA」というキーワードを用いて検索を行っていた形跡が確認されている。
漏えいした恐れのあるファイル名の一部

次のファイル名を含むデータが漏えいした恐れがある。*6

原因

  • センター非常勤職員へ届いた標的型攻撃メールの添付ファイルを開封したことにより、同職員のPCがマルウェア感染したため。

発端

  • 外部機関より、「不審な通信が発生している」との通報を受けたことによる。

インシデントへの対処状況

  • 文部科学省へ概要報告 *7
  • 内部調査の実施
  • 警察への相談 *8
  • 情報漏えいの可能性のある関係者への連絡

標的型攻撃メールの関連情報

届いたメールの内容

報道によれば次のメールが届いたとされる。*9

  • 送信元は東京の有名私立大学の学生を名乗っていた。
  • 以前学会で出会った学生であると自己紹介。
  • 自分が今研究していることで質問があるといった内容。
  • 詳細は添付ファイルを確認してくれと誘導。
文面一部個所は不自然な日本語

文中には一部不自然な点が存在していた模様。報じられていたものは次の通り。

  • 「尊敬していた先生」⇒「尊敬に思ってた先生」
  • 「プロジェクト」⇒「プロゼックト」

次の内容で送信された可能性がある。

こんにちは、先生。

前回の学会でお目にかかった〇〇と申します。

学会では短い時間お話ししただけですが、ずっと尊敬に思っていた先生にお会いすることができてすごく嬉しかったです。

実は、僕が今研究しているプロゼックトに関して少しお伺いしたいことがありまして失礼ながらもメールお送りします。

詳細な質問は添付いたします。

この分野に詳しい先生から僕のプロゼックトについてご意見を伺いできればこれからの研究に大きな力になると思います。

お忙しいなか、突然のメールで申し訳ございませんが、何卒よろしくお願いいたします。

ありがとうございます。

早稲田大学 〇〇〇〇〇

〇〇〇〇〇@yahoo.co.jp

標的型攻撃メールの送信先は2名

報道によれば標的型攻撃メールが届いたセンター関係者は2名。

標的型攻撃メールの送信先開封状況
センターの教授開封せず
トリチウム理工学専門の非常勤職員開封し感染

感染した非常勤職員は外部からの指摘を受けるまで異変に気付かなかった模様。

スタッフのメールアドレスは公開されている

同センターのスタッフ一覧には教授、講師をはじめスタッフの連絡先が掲載されている。

ここにはメールアドレスも掲載されていた。画像は例として阿部センター長の掲載情報。

f:id:Kango:20161010233326p:image:w450

マルウェアの関連情報

  • 感染したPCは1台が確認されている。
  • マルウェアは遠隔操作が可能なタイプ。
関連記事

不審な通信先の関連情報

  • 不審な通信先(外部サーバー)は全部で4か所が確認されている。
  • そのうち2か所と大量のデータ通信が発生しており、ここから情報が漏えいした可能性が疑われている。
接続期間ドメイン確認できたIPアドレス補足情報
2015年11月24日〜2016年4月29日supportservice247.com216.158.85.49
209.99.40.222
209.99.40.223
なし
2015年11月26日〜2016年2月29日requestword.com204.14.121.60
69.30.214.166
209.99.40.222
209.99.40.223
1個2MBのRAR形式ファイル1,000個以上の作成及び削除の痕跡あり。
同時間帯に大量データ(8GB以上)の通信発生。
2016年2月29日〜2016年6月14日enewsdatabank.com182.173.76.130ZIP形式のファイルを作成。
同時間帯に大量データの通信発生。
2016年4月28日、2016年6月14日housemarket21.com182.239.43.88
205.164.14.72
なし
不審な通信先はJPCERT/CCの解析記事に掲載されていた

JPCERT/CCが分析センターだよりにて、6月23日にAsruexの分析記事を掲載しており、Appendixの通信先一覧に富山大学が把握した通信先2つが含まれていた。

 vodsx.net
 office365-file.com
 service365-team.com
 datainfocentre.com
 eworldmagazine.org
 supportservice247.com
 seminarinfocenter.net
 vdswx.net
 housemarket21.com
 product-report24.com
 requestpg.net
 secu-docu.net
 send-error.net
 send-form.net
 wzixx.net
 login-confirm.com
 2.gp
 2.ly
 online-dropbox.com
 sendspaces.net
 institute-secu.org
 pb.media-total.org
 response-server.com
 enewscenters.com
 sbidnest.com
 servicemain.com

またSymantecのWriteupでもこの通信先の存在を確認できる。

不審な通信先にアクセスすると1個を除いて「58.158.177.102」に接続し、既に無害化されているのか「sinkhole」と表示される。なお、このIPアドレスは日本。

f:id:Kango:20161012010131p:image

2016年5月に入ってすぐ接続できなくなり、一月ほどたった6月中旬にIPアドレスが変更された模様。

f:id:Kango:20161012010129p:image

更新履歴

  • 2016年10月11日 AM 新規作成
  • 2016年10月12日 AM 続報追記
  • 2016年10月12日 AM JPCERT/CC通信先リストに「4つすべてが含まれている」と記載していたが含まれていたのは2つだけであったため訂正。
  • 2016年10月14日 PM 続報追記 (読売新聞の記事反映)