2011年衆議院サーバーハッキング事件

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動先: 案内検索

2011年衆議院サーバーハッキング事件とは、衆議院のサーバーなどに侵入し情報を盗みウイルス(マルウェア)感染を広めた事件。

概要[編集]

2011年7月に衆議院のサーバーに侵入され管理権限が奪取された。その後、約1ヵ月外部から自由に操作できる状態なっていたものと見られる。この間に国会議員、議員秘書および事務局職員ら合計2676人のID・パスワードが流出した。 さらに、接続していた衆議院事務局コンピューターや各議員のコンピューターにウイルス感染広がった。また、衆議院の管理者のID・パスワードも流出した可能性が高く、衆議院内のネットワークを自由に動ける状態になっていた。 流出したデータは、中国国内のIPアドレスに送信されていた事が判明している。全議員のメールが盗まれた可能性があるとの産経報道がある。

経緯[編集]

7月25日に議員に送られてきたメールに添付されていた画像ファイルからのトロイの木馬型ウイルスに感染した [1]。 記者を名乗り掲載する写真はこれで良いかという趣旨のメールだったという。 その使用端末1台から衆議院サーバー4台および運用端末2台に二次感染した。 そこから衆議院議員各端末25台に三次感染したと見られる。 衆議院のサーバーは、NTT東日本のセキュリティに守られていたが、それらを突破された事を総務省は認めている。 8月22日に管理者IDとパスワードが盗まれ、8月23日に最初に侵入された議員端末から不正に外部サイトへのアクセスしたと見られている。8月28日に保守業者が異常に気が付いた。 その後の調査で3台の端末から侵入痕跡を発見。NTT東日本から「日常の事案とは違う」と警告したが、事態の重要性を理解できない事務局は一時放置したとの産経報道がある。 9月1日に単なる端末のウイルス感染でなく大規模なハッキングと判明し、ネットワークを遮断した。

事件後[編集]

10月25日朝日新聞が単独スクープし続いて読売など各社が一面記事で報じるなど事件が公になる。この報道で事件を知った議員も多く藤村官房長官(当時)は「衆議院にむしろこちら側から確認しているところ」との記者会見で述べた。 11月10日調査を終えたNTT東日本が最終報告書を提出。それを受けて11月14日に衆議院議院運営委員会庶務小委員会で報告された。事後調査で衆議院議員3名および防衛大臣を含む参議院議員7名にもメールは送られていた事が発覚したが、開封していたのは当初感染した1台のみだった。 事件後、議員から事務局が長期間報告しなかった事で事務所対応(感染チェックなど)が遅れたとして「この3ヶ月間、国会議員や事務所に対して注意・警告は何ら行われず、サイバー攻撃にさらされ続けていた全議員の事務所は、無知識、無防備のまま、平常通りに過ごしていた。」として批判が出ている[2]。 事件の重大性から、内閣官房に危機管理関係省庁合合同会議として「情報セキュリティ対策推進会議」が設立され、「内閣セキュリティセンター」に昇格後、2015年1月9日に機能拡充するため「内閣サイバーセキュリティセンター」に改組し、現在に至っている。

犯人像とその技術[編集]

画像ファイルからの感染は、メモリーリークを利用したバッファオーバーラン攻撃で理論上可能と指摘されていたが、画像ファイルへの偽装は難易度が高く、また仮にそれに成功しメモリー上に画像データをリークできたとしても、実害が少ないウイルスしか作れず、2002年に研究者が実験用に試作したものも危険性は低いものだった。実行性があるものとしはOSのメモリー管理を突破する事が困難であり、そこを突破してもセキュリティーソフトの監視下を潜り抜けての管理権限奪取可能なプログラム展開は極めて困難であとされる。また、メモリーリークはバグの原因となるため、開発者は発見次第に即座に閉じる努力をしており、ソフトウェアハウスも発見できなかった未知のメモリーリークを利用したと見られる。セキュリティーチェックを通過している事から、既存のウイルスあるいはそれに似た技術ではなく新テクノロジーを発明した上で未知ウイルスを開発し、侵入したものと見られる。これらは、技術者のフォーラムなどで可能性を論じられてきたが、現実的には実現不可能とされてきた技術である。そのため、犯人は極めて高度な技術を要していたと見られる。研究機関からは国家規模レベルの技術だとの指摘もなされている。犯人不明のまま事件は未解決である。

関連項目[編集]

外部リンク[編集]

脚注[編集]

[ヘルプ]
  1. ^ 池上 彰 『知らないと恥をかく世界の大問題3』 角川マガジンズ、2012年、145頁。ISBN 4047315761
  2. ^ 塩崎やすひさ (2011年10月29日). “危機感足りない国会のサイバーテロ対策”. やすひさの独り言. 2015年12月22日閲覧。