---

経団連事務局では、11月10日に、経団連事務局のコンピュータが外部との不審な通信を行っていた旨を公表しておりましたが、今般、不審な通信がマルウェア感染によるものであることが判明いたしました。

１．経緯

10月26日

経団連のネットワーク運営委託先事業者が経団連の通信を同社の監視機器により詳細調査(～11月2日)。

11月4日

委託先事業者から経団連に対し、不審な通信が行われている事務局コンピュータ(12台)と不審な通信先(7サーバー)について報告。
経団連では直ちに同通信先への通信を遮断。緊急対策チームの編成を決定し、活動を開始。

11月7日

緊急対策チームによる会合で、フォレンジック(事故証跡)調査の方針を決定。

11月10日

不審な通信があった旨を全会員にウェブサイトやファクシミリにて連絡するとともに対外公表。警察と相談。

11月11日

不審な通信を行っていた事務局コンピュータから最初のマルウェアの検体を発見。当該検体をウィルス対策ソフト事業者に提供し連携。通信のログから、最初の12台とは別に感染のおそれのある事務局コンピュータ5台、新たな不審な通信先3サーバーが判明。
事務局から外部への通信を遮断した上で、必要かつ安全と判断した通信のみ許可(ホワイトリストでの運用)。インターネットから事務局LANへのリモートアクセスを停止。経団連会員情報管理システムの運用を停止。

11月14日

事務局員が利用するすべてのアカウントのパスワードを変更。
新たに、内部侵入の踏み台となったコンピュータ3台と踏み台となった疑いのあるコンピュータ3台が判明。

11月15日

幹事会において会員に説明。
これまでの経過につき対外公表。

２．発見されたマルウェア

PlugX(プラグエックス)、Elirks(エリクス)

３．感染の原因・時期、侵害の内容・範囲等

• 侵害されたコンピュータの特定を進めている。
• 特定後、フォレンジック調査により感染の原因・時期、侵害の内容・範囲を調査する。

４．経団連事務局の対応

• 発見されたマルウェアの種類、感染規模からAPT(Advanced Persistent Threat)攻撃と判断し、インシデント対応を行う。
• 引き続き侵害状況の調査を進め、警察への捜査協力、インシデント対応機関(JPCERT/CC)等との連携を行う。
• 事務局内のコンピュータのクリーン化を行い、セキュリティ対策を強化した上で業務の復旧を行う。
• 停止中の会員サービスについては、安全確認を行い早期に復旧を行う。
• 事務局の情報セキュリティ体制を強化する。