概要

衆議院議員の公務用PC、衆議院のサーバーでウィルス感染が確認され、衆議院ネットワーク利用者のID、パスワードが盗まれた可能性があります。
11/14に行われた最終調査結果報告*1を反映しました。反映箇所には*1をつけています。

• 標的型メール攻撃を受けてウィルス感染した状況*2 *3 *4
  • 衆議院側
    • 32台のマシンで感染*1
      • 添付ファイルを開き感染した公務マシン 1台
      • 感染した議員アカウントサーバー等 4台
      • 運用管理端末 2台
      • 外部サイトへ接続試行の形跡を確認した(三次感染した)公務PC 25台*5
  • 参議院側
    • 感染PC、サーバー無し*6

• 送付された標的型メール*7 *8
  • 送付先
    • 衆議院議員 3人(具体的な送付対象者は不明)
    • 参議院議員 7人(内1人は北沢防衛相(当時) *9 他6人は不明)
    • 省庁にも10月に送付されている模様*10
  • 送付元メールアドレス　syoutenn_aguri@aol.jp
  • 差出人名　週刊焦点 安栗弘子(あぐり・ひろこ) 記者名を騙ったもの
  • 添付ファイル名　Photo.zip
  • 件名　お願い事
  • 本文　最新号の週刊誌にあなたの顔写真を掲載することになりますがよろしいですか。

• 不正プログラムの機能*11
  • キーロガー
  • ドロッパー
  • リモート操作・ダウンローダー(接続先は3サイトある*12が、非公開 *13 )
  • ステガノグラフィ(画像埋め込み)によるコマンド実行
  • 時間差によるジョブ実行

• 対策組織
  　※本事案を受け設置された対策組織
  • 衆院サーバ等ウィルス感染防止対策本部(衆議院)
    • 衆議院事務局、NISC、NTT東日本、LACが参加。参院事務局CIO補佐官、警察庁(警備企画課長)がオブザーバー参加。
    • 事案解明班(原因や手口の調査)、対策樹立班(今後の防御強化策を検討)の２班構成。
  • サイバーテロ対策本部(民主党) *14
    • 民主党 城島幹事長代理が本部長
  • サイバー攻撃対処検討委員会(公明党) *15
    • 公明党 遠山清彦議員が委員長

衆議院被害状況

• 悪用、盗用されたID,パスワード*16 *17
  • 議員、秘書用端末のユーザーID、パスワード(ハッシュ値) 1142人分*1
  • コンピュータの個体番号(詳細不明) 1534件*1
  • 感染した公務PCで複数の議員のID,パスワードを保存したファイルを発見*18
  • 盗まれた管理者権限はネットワーク上全てのサーバー、PCを操作できる権限ではない。*1

• 一次感染した議員端末A *1
  • 7月25日、または26日にID,パスワード,衆議院の証明書を搾取
  • 7月25日〜9月1日の期間、メールを盗み見られた可能性
• 二次感染した議員アカウントサーバー、運用管理端末
  • 管理者権限のID、パスワードが盗まれる
  • 不正なプログラムが埋め込まれ、不正サイトへアクセスが発生
  • 運用管理端末ではID,パスワード(ハッシュ値)を出力するツールの証跡を確認
• 三次感染した議員端末25台
  • ファイル流出無し
  • 8月24日〜9月7日の期間メールサーバー状に保存されていたメールは盗み見られた可能性

• 攻撃経路 *1
  • 1. 衆議院議員3人のメールアドレスへ標的型メールが送付。
    　　圧縮ファイルに偽装したトロイの木馬型の不正プログラムが添付。
  • 2. その内一人が偽装ファイルを誤って実行し感染。
    　　中国国内のサイトへ強制接続。該当端末へさらに不正プログラムをダウンロード。
  • 3. (運用管理端末の?)管理者権限のID,パスワードを盗み出す。
    　　(盗み出した方法等詳細不明)
  • 4. 感染端末から議員アカウントサーバーへ不正プログラムを埋め込まれる。サーバーも不正サイトへアクセスするようになる。サーバー上の情報を外部から閲覧可能な状態に変更。
  • 5. 運用管理端末を乗っ取り、ツールを用いて全議員のID、パスワードハッシュを取得。ドキュメントも流出。
  • 6. ネットワーク上の他25台の端末へ感染を拡大させる。

• 現在の状況(2011/11/14現在)
  • 感染端末・サーバーはネットワークから切り離され調査中*19との報道以降、復旧したとの報道なし。
  • 感染拡大、情報流出への対策は9/16に実施済み*20
  • 全衆議院議員へ公務PCのパスワードの変更依頼*21を2回(10/25,27)に出したが、11/02確認時点で変更した議員は全体の約45%。*22
  • 全参議院議員へ不審メールの注意喚起と私有PCでのウィルス対策を依頼*23
  • 被害届はまだ未提出。不正アクセス禁止法違反で提出するか検討中。*24 *25
  • 衆院サーバ等ウィルス感染防止対策本部で11/14に最終報告書を提出*26 *27

衆議院LAN

• 公務PC 960台
  • NEC製PC(VersaPro?) Core2Duoモデル WindowsXP(報道の動画より推測)
  • 衆議院議員の議員会館へ議員、公設秘書用として2台ずつ支給
  • 経理情報や政局・後援者の機密情報、仕分け情報等が格納されている場合もある
• 運用管理端末 2台以上
• サーバー 複数台(議員、秘書、職員用に独立して設置されている)
  • メールサーバー、認証サーバー?(IDとパスワードで本人確認をするサーバー)等の存在が確認されている
  • 参議院系のサーバーとは独立して設置
• 衆議院立法情報ネットワークシステム
  • Webインタフェースを採用(報道の動画より推測)
  • 陳情情報の検索*28(報道の動画より推測)
  • 議会事務資料が格納されており、PDFでダウンロードできる
  • システムユーザー数 約2660人
    • 衆議院議員 約480人
    • 公設秘書 約480人
    • 事務局職員 約1700人
    • パスワードは3か月に1回定期的に変更要請がかかる
• 衆議院メールアドレス(Wikipediaより)
  　g0000@shugiin.go.jp（議員本人用。「0000」の部分は4ケタの数字が入る）
  　h0000@shugiin.go.jp（公設秘書用。上記に同じ
  　公開されているアドレスはここ参考
• 衆議院LANとは別にインターネットに直接接続する回線がある。議員の7割がその回線を利用している。*29

参議院LAN

• 公務PC 約700台
  • 参議院議員へ3台ずつ支給
• 参議院LANへ接続してる端末からインターネットに直接接続する環境無し。
• 参議院メールアドレス(Wikipediaより)
  　hoge_hoge@sangiin.go.jp（議員本人用。「hoge_hoge」の部分は「名_姓」）
  　hoge_hoge01@sangiin.go.jp（公設秘書用。議員用の末尾に2ケタの数字を付加）

時系列まとめ

• 2011/07/22,07/25
  • 参議院議員7人へ標的型メールが送付される。感染者は無し。*30
• 2011/07/25
  • 衆議院議員3人へ標的型メールが送付される。内一人が添付されたファイルを実行し感染。*31
• 2011/08/22*1
  • 管理者情報が盗み出されたとされる時期。
• 2011/08/22*1
  • 攻撃者が衆議院の管理サーバーに侵入(痕跡を確認。) *32
• 2011/08/28(08/29という報道もあり*33 )
  • 管理業者(NTT東日本)より「不正アクセスの痕跡がある」と衆議院事務局に通報。
  • 夜、事務局がサーバーをチェックし感染が発覚。
  • 感染経路を確認することにより、議員1名の端末が感染していることが発覚。
• 2011/08/31
  • 衆議院事務局よりLACへ本事案の調査を依頼。
• 2011/09/08
  • 公務PC 他2台で同種の標的型メール(送付元、サブジェクトが同じ)を受信していることを確認。それらはウィルス対策ソフトにより削除された模様。
• 2011/09/16
  • 感染端末、サーバーのウィルス駆除対応(流出防止策)が完了。*34
• 2011/10/25
  • 朝日新聞が朝刊一面で衆議院へのサイバー攻撃の事実を報道。
  • 官房長官が記者会見の場にて、警察庁が主体で調査すること、そしてまだ被害届は出されていないと回答。
  • 議院運営委員会庶務小委員会で攻撃事実の報告、及び「衆院サーバ等ウィルス感染防止対策本部」を設置することを決定。*35
  • 民主党が「サイバーテロ対策本部」を編成することを決定。
• 2011/10/26
  • 衆院サーバ等ウィルス感染防止対策本部初会合。28日にNTT東日本より詳細報告を受けることを決定。
  • サイバーテロ対策本部初会合。党本部、支部の被害防止に向けたガイドライン作成を決定。(民主党サイト)
• 2011/10/27
  • 議院運営委員会庶務小委員会において、衆院サーバー等ウィルス感染防止対策本部会合の報告。*36
• 2011/10/28
  • 議院運営委員会庶務小委員会において、NTT東日本が調査状況を中間報告。*37
• 2011/11/02
  • 参院事務局が参議院で衆議院と同じ内容の標的型メールを議員7人が送付を受けていた事実を発表。
• 2011/11/14
  • 議院運営委員会庶務小委員会に置いて、NTT東日本の調査状況を受け、衆議院事務局が調査結果を報告。*38

報道情報(国内のみ)

• 2011/10/25
  • 衆院にサイバー攻撃　議員のパスワード盗まれる(朝日) (魚拓)
  • 衆院サイバー攻撃「確認急ぐ」と官房長官(共同通信) (魚拓)
  • 衆院サイバー攻撃報道　事務局コメント「把握していない」(産経) (魚拓)
  • サイバー攻撃「おそらく自覚ない」　閣僚らに驚きの声(朝日) (魚拓)
  • 衆院サーバーが感染＝対策本部設置、調査へ(時事通信) (魚拓)
  • 全衆院議員にパスワード変更要請　サイバー攻撃で議運(朝日) (魚拓)
  • 衆院事務局「サイバー攻撃、事実関係は確認できず」　対策本部設置へ(産経) (魚拓)
  • ３議員のＰＣウイルス感染　サイバー攻撃、確認急ぐ(共同通信) (魚拓)
  • 衆院議員のパソコンがウイルス感染(読売) (魚拓)
  • 衆院にサイバー攻撃、藤村官房長官「国家安保に重要な課題」(Reuters) (魚拓)
  • サーバーが“感染” 衆院 サイバー攻撃で対策本部(テレビ東京) (魚拓)
  • サイバー攻撃　民主党に対策チーム(NNN) (魚拓)
  • サイバー攻撃　衆院が対策本部設置し調査(NNN) (魚拓)
  • ウイルス、高度に暗号化　多重工作で発覚防ぐ　衆院攻撃(朝日) (魚拓)
  • 衆議院議員３人のＰＣウイルス感染　サイバー攻撃、確認急ぐ(中国新聞) (魚拓)
  • 衆議院３人のＰＣウイルス感染　サイバー攻撃の可能性は調査中(スポーツ報知) (魚拓)
  • 【速報】衆議院議員のパソコンがウイルス感染(ネット選挙ドットコム) (魚拓)
  • サイバー攻撃、日米共同で対抗を　米国防長官が意向示す(朝日) (魚拓)
  • 衆院サーバー感染で対策本部＝民主(時事通信) (魚拓)
  • 衆院標的サイバー攻撃　「捜査に国境の壁」発信源特定難しく(産経) (魚拓)
  • 衆院サーバーに不正アクセス　議員のＰＣ踏み台か　メールなど盗み見の恐れ(産経) (魚拓)
  • 業者の警告放置、危機管理に甘さ　衆院サーバー不正アクセス(産経) (魚拓)
  • ３議員に感染メール、衆院サーバーへ不正接続(読売) (魚拓)
  • ＰＣウイルス感染：衆院ネットサーバーと議員３人(毎日) (魚拓)

• 2011/10/26
  • 全衆院議員のパスワード盗難か　管理者権限で操作(朝日) (魚拓)
  • ８月把握、注意喚起なし　衆院事務局に批判次々(東京新聞) (魚拓)
  • 衆院：議員ＰＣウイルス感染　サーバーも　警視庁、経緯を聴取(毎日) (魚拓)
  • ＰＣウイルス　衆院に対策本部(読売) (魚拓)
  • 衆院サーバーに不正接続の形跡(読売) (魚拓)
  • サイバー防衛に三権分立の壁…情報共有せず(読売) (魚拓)
  • 民主、指針作成へ＝サイバー攻撃対策(時事通信) (魚拓)
  • ウイルスメールは２議員に　衆院サイバー攻撃(朝日) (魚拓)
  • キーボード入力記録盗まれた疑い　最初に感染の議員ＰＣ(朝日) (魚拓)
  • 民主、指針作成へ＝サイバー攻撃対策(時事通信) (魚拓)
  • サイバー攻撃で衆院、２８日に実態報告　民主も指針作成へ(産経) (魚拓)
  • ２８日にも中間報告　衆院でウイルス対策会議(産経) (魚拓)
  • サイバー攻撃で衆院、２８日に中間報告(読売) (魚拓)

• 2011/10/27
  • サイバー攻撃、政府機関標的に　古典的だが手口巧妙(日経)
  • サイバー攻撃　情報共有し防御対策に生かせ（10月27日付・読売社説）(読売)
  • クローズアップ２０１１：衆院、在外公館へサイバー攻撃続発　見えぬ敵、対応遅れ(毎日)
  • 衆院事務局がウイルス感染問題で初会合、「報道でサイバー攻撃の可能性を認識」(ITpro)
  • 日本政府にサイバー攻撃(WSJ)
  • 衆院議員PCウイルス感染問題　衆院事務局、パソコンとサーバー1台が感染と途中経過報告(FNN)
  • 衆院事務局がウイルス感染問題で初会合、「報道でサイバー攻撃の可能性を認識」(日経コンピュータ)
  • 要人日程・会合…筒抜け恐れる議員　衆院サイバー攻撃(朝日)

• 2011/10/28
  • 衆院サイバー攻撃、標的は議員と秘書のＩＤ管理サーバー(朝日)
  • サイバー対策で監査実施＝参院(時事通信)
  • 衆院議員のＩＤとパスワード、盗まれた疑い 公務用パソコンのウイルス感染(日経)
  • 衆院議員のＩＤなど流出か(NHK)
  • 衆院サイバー攻撃、ＩＤなど流出か (TBS)
  • 衆院へのサイバー攻撃は新種「トロイの木馬型」(ANN)
  • 議員ＰＣがウイルス感染＝パスワードなど流出の可能性−衆院(時事通信)
  • 衆院ウイルス感染：ＩＤやパスワード　複数流出の可能性(毎日)

• 2011/10/29
  • 衆院サイバー攻撃、ＩＤやパスワード流出か(読売)
  • 衆議院ウイルス感染対策本部、複数のIDやパスワードが流出した可能性があると発表(FNN)
  • 衆院サイバー攻撃、防御ない回線から感染(TBS)

• 2011/10/31
  • メールの題名は「お願い事」　衆院サイバー攻撃(テレビ朝日)
  • 衆議院サイバー攻撃問題　最初に議員に送られたメール、差出人は「週刊誌記者」装う(FNN)
  • 衆議院サイバー攻撃問題　8月23日に管理サーバー侵入の痕跡　2,676件のパスワード盗難(FNN)

• 2011/11/02
  • 参院もメール情報流出、送信先画面に中国簡体字(読売)
  • メールの件名は「お願い事」…参院情報流出(読売)
  • 参院にもウイルスメール　サイバー攻撃の可能性も　参院事務局が調査開始(産経)
  • 「ＮＩＳＣに情報提供を指示」　参院ウイルスメールで斎藤副長官(産経)
  • 参院にも不審メール７件＝ウイルス感染「確認中」−事務局(時事通信)
  • 参院議員のパソコン７台に標的型攻撃メール(読売)
  • サイバー攻撃：参院議員７人にもウイルスメール(毎日)
  • 参院７議員にもウイルスメール　衆院攻撃と同じ差出人(朝日)
  • 衆議院PCサイバー攻撃問題　参議院議員の公務用PC7台にも同種の不審なメール(FNN)
  • サイバー攻撃：参院７議員に標的型メール　６台感染なし(毎日)
  • 参院にもサイバー攻撃、ウイルス感染なし(NNN)
  • 参院議員ＰＣ「ウイルス感染なし」 (TBS)
  • 参院ＰＣ感染なし＝事務局発表(時事通信)
  • 衆参同時期に相次ぎ攻撃メール　議員宛てに送信(共同通信)

• 2011/11/03
  • 参院サイバー攻撃、衆院と同時期…同じ攻撃者か(読売)
  • 参院２議員のメール情報流出　ウイルス感染の疑い(朝日)
  • サイバー攻撃：省庁も標的に　同じ差出人から先月届く(毎日)

• 2011/11/04
  • サイバー攻撃：北沢氏に標的メール　当時防衛相、感染はせず(毎日)
  • 参院攻撃　衆院と同時期…参院情報流出(読売)

• 2011/11/14
  • 全衆院議員のＩＤなど流出か(NHK)
  • 全衆院議員のパスワード流出か　事務局が調査報告(朝日)
  • 全議員のメール盗み見か　衆院サイバー攻撃の全容(テレビ朝日)
  • 衆院サイバー攻撃　全議員のＩＤなど流出か(NNN)
  • 全衆院議員メール、盗み見の疑い＝参院と同一犯濃厚−サイバー攻撃(時事通信)

• 2011/11/15
  • 全ての衆院議員、「メール盗み見」被害か (TBS)
  • 国会サイバー攻撃問題　衆院事務局、全議員のメールが盗み見されていた可能性と公表(FNN)
  • サイバー攻撃：「対応遅すぎ」…参院へ情報提供に２カ月(毎日)
  • 全衆院議員ＩＤ流出、１５日間メール閲覧可能(読売)
  • 全衆院議員ＩＤ流出　１５日間メール閲覧可能(読売)
  • サイバー攻撃：衆院、全議員パスワード流出　一部メール、盗み見か(毎日)
  • サイバー攻撃：衆院、全議員パスワード流出　識者の話(毎日)
  • 国会サイバー攻撃問題　全衆議院議員のメールが盗み見されていた可能性(FNN)
  • 全衆院議員のメール盗み見か　海外サイト経由で不正アクセス(ITmedia)
  • サイバー攻撃、衆院把握後も参院で被害か　連携不足の声(朝日)

• 2011/11/17
  • パスワード盗まれても…変更の議員は半数以下(読売)
  • 攻撃受けてもパスワード変更４５％…衆院議員(読売)
  • パスワード変えた議員は半数以下　衆院サイバー攻撃(朝日)

更新情報

※ 詳細は魚拓参照

• 10/26 AM 概要更新
• 10/26 PM 概要更新、報道情報追加
• 10/27 AM 概要更新、報道情報追加
• 10/27 PM 概要更新、報道情報追加
• 10/27 AM 概要更新、衆議院ネットワーク更新、報道情報追加
• 10/28 AM 概要更新、衆議院ネットワーク更新、報道情報追加
• 10/29 AM 概要更新、衆議院LAN更新、報道情報追加
• 10/31 PM 概要更新、報道情報追加
• 11/02 PM 概要更新、参議院関連情報追加、報道情報リンク切れ削除
• 11/04 PM 概要更新、報道情報追加
• 11/19 PM 概要更新、報道情報追加、11/14の調査結果報告を反映
• 11/20 AM 概要の誤植訂正