KCI-20180213-01 の変更点

Top > KCI-20180213-01

*KCI-20180213-01 SI-CI-A-U 産総研の情報システムに対する不正なアクセス [#s8832fdd]

|識別コード|KCI-20180213-01|
|対象クラウドサービス|Office 365|
|攻撃カテゴリ|I(情報漏えい)|
|STRIDE|S(成りすまし),I(情報漏えい)|
|データタイプ|C(秘密情報)I(個人情報)|
|件数|A(5,177)|
|責任主体|U(ユーザー)|
|主な原因|ログイン方法(多要素認証無し)|
|概要|利用していたクラウドサービスのメールシステムのアカウントにブルートフォース攻撃を受け、メールシステムに侵入された。さらにその情報からイントラネット内に侵入され、情報漏えいが発生した。|
|参考|[[「産総研の情報システムに対する不正なアクセスに関する報告」について>https://www.aist.go.jp/aist_j/news/announce/au20180720.html]]&br;[[産総研のセキュリティインシデント--被害が拡大したマネジメントの課題>https://japan.zdnet.com/article/35122961/]]&br;[[ニュース解説 産総研を襲った謎の手口、セキュリティ対策に新たな教訓>https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/00786/]]&br;[[3ヶ月以上にわたり不正アクセス、職員のアカウントで内部システムへ侵入しサーバを踏み台化(産総研)>https://scan.netsecurity.ne.jp/article/2018/07/27/41232.html]]&br;[[産総研|不正アクセスで研究情報及び個人情報含む文書4,700件などが漏洩か>https://cybersecurity-jp.com/news/25967]]|

*時系列 [#f6d46f2e]
+2017/10/27 パスワード試行攻撃開始。12月末まで継続。
+2017/10/28 VPNサーバーへの攻撃が開始。11/02まで継続。侵入されず。
+2017/12/15 外部サーバーを経由してイントラネットに侵入。
+2017/12/20 業務システムに不正ログイン。
+2018/01/26 ファイル共有システムに不正ログイン。
+2018/02/06 攻撃が発覚。対象者のパスワード強制変更等の1次対応を実施。
+2018/02/09 痕跡(ログ)の削除。
+2018/02/10 イントラネット内への不正侵入が発覚。全職員のパスワード強制変更等の対策を実施。
+2018/02/13 インターネット接続を遮断。情報を公開。
+2018/02/23 イントラネット内のネットワーク機器を初期化。

----
#scomment(./コメント,30);