KCI-20180213-01

KCI-20180213-01 SI-CI-A-U 産総研の情報システムに対する不正なアクセス

識別コード	KCI-20180213-01
対象クラウドサービス	Office 365
攻撃カテゴリ	I(情報漏えい)
STRIDE	S(成りすまし),I(情報漏えい)
データタイプ	C(秘密情報)I(個人情報)
件数	A(5,177)
責任主体	U(ユーザー)
主な原因	ログイン方法(多要素認証無し)
概要	利用していたクラウドサービスのメールシステムのアカウントにブルートフォース攻撃を受け、メールシステムに侵入された。さらにその情報からイントラネット内に侵入され、情報漏えいが発生した。
参考	「産総研の情報システムに対する不正なアクセスに関する報告」について 産総研のセキュリティインシデント--被害が拡大したマネジメントの課題 ニュース解説 産総研を襲った謎の手口、セキュリティ対策に新たな教訓 3ヶ月以上にわたり不正アクセス、職員のアカウントで内部システムへ侵入しサーバを踏み台化（産総研） 産総研｜不正アクセスで研究情報及び個人情報含む文書4,700件などが漏洩か

時系列

1. 2017/10/27 パスワード試行攻撃開始。12月末まで継続。
2. 2017/10/28 VPNサーバーへの攻撃が開始。11/02まで継続。侵入されず。
3. 2017/12/15 外部サーバーを経由してイントラネットに侵入。
4. 2017/12/20 業務システムに不正ログイン。
5. 2018/01/26 ファイル共有システムに不正ログイン。
6. 2018/02/06 攻撃が発覚。対象者のパスワード強制変更等の1次対応を実施。
7. 2018/02/09 痕跡(ログ)の削除。
8. 2018/02/10 イントラネット内への不正侵入が発覚。全職員のパスワード強制変更等の対策を実施。
9. 2018/02/13 インターネット接続を遮断。情報を公開。
10. 2018/02/23 イントラネット内のネットワーク機器を初期化。