北海道旅客鉄道(JR北海道)は2015年8月28日、業務用PCが標的型メールによるサイバー攻撃を受け、7台がマルウエア(ウイルス)に感染したことを発表した。被害拡大を防ぐため、8月31日時点で同社内から社外へのインターネットアクセス制限を続けている。現時点では個人情報が流出した形跡はないという。列車の運行に関わるシステムに影響はない。
JR北海道の説明によれば、8月11日に、ある部署の社員2人宛てに外部から標的型メールが届き、うち1人が添付ファイルを開封したことで、PCがマルウエアに感染した。「詳細は明かせないが、その部署の担当者なら業務上開かざるを得ない内容だった」(広報部)という。
翌12日に外部機関から「外部の不審なサーバーへのアクセスが確認された」との連絡があり、サイバー攻撃に遭った可能性が判明した。13日に対策本部を設置し、他のPCも含めてマルウエア感染状況を調査したところ、最初のPCを含む合計7台で感染が判明。これらのPCはネットワークから切断して、外部の専門機関に解析を依頼した。
解析の結果、標的型メールを開いた最初の1台のPCは、「Emdivi(エムディビ)」と呼ばれるマルウエアに感染していたことが判明した。Emdiviは長野県上田市(関連記事:長野県上田市を襲った標的型攻撃メール、住基ネット強制遮断の憂き目に)や早稲田大学(関連記事:早稲田大学から3308人分の個人情報が流出、「医療費通知メール」が発端)など、日本の組織へのサイバー攻撃でしばしば使われている。
