長野県上田市では2015年6月12日に、庁内LANがサイバー攻撃を受けていたことが判明した(写真1)。同月下旬から、調査が本格化した([1]を参照)。
そのなかで、「医療費通知」を装う標的型攻撃メールを受信・開封したために、「Emdivi(エムディビ)」と呼ばれるタイプの遠隔操作ウイルスに感染していたことが明らかになった(関連記事:医療費通知を偽装した電子メールにご用心、遠隔操作ウイルス感染も)。だが、2月に受信したとみられる標的型攻撃メールは、メールサーバーには残っていなかった。
上田市ではこうしたサイバー攻撃を前提に、メールを長期間保存することはしていなかった。今回のケースでは、たまたまPCにメールが残っていたため、標的型攻撃メールを検出できた。
さらに調査を進めると、攻撃者はこの1台のPCを糸口に、LAN内部に様々な形で侵入していたことが分かってきた。ウイルスに感染させたり、情報窃取を試みたりした形跡があったのだ。
職員のユーザー名とパスワードが流出
最も痛手だったのが、上田市の庁内LANのうち「情報系」のユーザー情報を管理するディレクトリーサーバー(Active Directory)に侵入が及んだことだ。職員のユーザー名とパスワードが流出した形跡を確認した。上田市の情報システム部門に当たる総務部広報情報課の佐野茂樹係長は「Windows Serverのパッチ適用が不十分で、既知の脆弱性を突かれてしまった」と説明する。
インターネット遮断措置が遅れれば、盗まれたIDとパスワードを悪用した攻撃で、さらに被害が広がった可能性がある。上田市を踏み台にして、他の自治体や政府機関などに被害が波及した可能性も否定し切れない。
流出に結びついたのは「MS14-058」「MS14-068」という脆弱性だった。後者は、ディレクトリーサーバーにおける管理者権限の奪取につながるもの。米マイクロソフトが2014年11月の公開時点で既に「限定的な標的型攻撃を確認していた」とする危険な脆弱性だった。
住民票情報や税情報などの個人情報は情報系とは別セグメントの「基幹系」に置いていたため、情報流出は無かった。基幹系のPC・サーバー約300台ではウイルス感染は見つからなかった。