ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2016-11-10

経団連事務局端末の不審な通信発生についてまとめてみた

| 01:28 | 経団連事務局端末の不審な通信発生についてまとめてみたを含むブックマーク

2016年11月10日、経団連は事務局内の複数の端末が海外のサーバーと不審な通信が発生、これの調査にあたっており、情報が漏えいした可能性があると発表しました。ここでは関連情報をまとめます。

公式発表

インシデントタイムライン

日時アクター出来事
10月26日
〜11月2日(判明分)
不明事務局内から海外のサーバーに対して不審なアクセスが大量に発生
11月4日委託先情報システム会社経団連へ不審な通信の発生を連絡。
11月7日経団連緊急対策チームが調査方針を決定。
11月10日経団連不審な通信を確認したと発表。
同日経団連警察へ被害相談。
11月11日経団連事務局端末よりマルウェアを発見。
同日経団連ウィルス対策ベンダに発見した検体を提供。
同日経団連新たな感染端末、不審な通信先を把握。
同日経団連事務局LANへのリモートアクセス、会員情報管理システムの運用を停止。
11月14日経団連事務局内の局員利用のパスワードを一斉変更。侵入経路が判明。
11月15日経団連幹事会にて会員向けに説明後、対外向けに発表。

被害状況

経団連 事務局内端末最大23台から不審な通信が発生していた。パソコンは職員で共用していたものも含まれる。*1

感染台数内訳台数
11月10日時点の把握台数12台
11月15日時点の追加把握台数11台
 この内、通信のログで判明した台数5台
 この内、踏み台となった台数3台
 この内、踏み台となった疑いのある台数3台
不審な通信の発生していた部署

名前が報じられている部署は次の通り。

  • 国際協力本部
  • 国際経済本部
漏えいした可能性のある情報

漏えいした可能性がある情報として次のものが報じられている。経団連はまだ調査中で、特定はしていない。

これら情報は端末から接続可能なクラウド環境に保存されていた模様。*2

発端

  • 委託先の情報システム会社より、経団連が連絡を受けたことによる。
  • 10月26日〜11月2日の期間を対象として行われた不審な通信がないかの調査が定期的なものであったのかは不明。

原因

経団連の対応状況

11月10日時点の経団連の対応状況は次の通り。

  • 緊急対応チームの設置、当該チームによる調査の実施。
  • 現在も調査中。詳細事実判明次第、改めて公表予定。
  • 警察への届け出は調査結果を受けて判断。
  • 事後対応も含め年度内に終わらせたいと総務本部長がコメント。

11月15日時点でさらに明らかにされた対応状況は次の通り。

  • 会員向けにWeb、FAXにて連絡。
  • 局外から事務局LANへのリモートアクセスの停止、会員情報管理システムの運用停止。
  • 局員のアカウントパスワードを一斉に変更。
  • 感染端末の特定、その後詳細な侵害状況の調査。

感染したマルウェアの関連情報

次の2種類のマルウェアが確認されている。これらはJTB不正アクセス事案でも確認されていたもの。

  • Korplug (PlugX)
  • Elirks

不審な通信先の関連情報

  • 全部で海外、国内の10か所のサーバーに対し、不審な通信の発生が確認された。*4
  • 通信職員がいない早朝、深夜をふくめ昼夜を問わず大量に発生していた。*5
  • 帰宅時に電源を落としても理由は明らかとなっていないが通信が発生していたとの報道もある。*6

参考資料

更新履歴