[해외보안동향] JR홋카이도에서 업무용PC가 표적형 메일 ’Emdivi’ 통해 악성코드 감염

JR홋카이도에서 업무용PC 7대가 바이러스감염, 표적형 메일 ’Emdivi’ 개봉으로

JR北海道で業務用PC7台がウイルス感染、標的型メール「Emdivi」開封で

홋카이도여객철도(JR홋카이도)는 2015년8월28일, 업무용PC가 표적형 메일에 의한 사이버공격을 받아서 7대가 악성코드(바이러스)에 감염된 사실을 발표했습니다. 피해 확산을 막기 위해서 8월31일 시점에서 사내에서 외부로의 인터넷접속 제한을 시행중이라고 합니다. 현 시점에서는 개인정보가 유출된 흔적은 없다고 발표했으며, 열차운행에 관한 시스템에 영향은 전혀 없다고 합니다.

JR홋카이도의 설명에 따르면 8월11일에 어느 부서의 사원 2명앞으로 외부에서 표적형 메일이 도착했는데, 그 중 1명이 첨부파일을 열어서 PC가 악성코드에 감염되었다고 합니다. 상세한 사실은 확인이 어렵지만, 그 부서의 담당자라면 업무상 해당 메일을 열지 않을 수 없는 내용이었다고 합니다.

8월 12일에 JR홋카이도는 외부기관으로부터  ‘외부의 수상한 서버로의 접속이 확인되었다’라는 연락을 받고 침해사고를 당했을 가능성을 확인하였고, 8월 13일에는 대책본부를 설치하고 다른 PC도 포함하여 악성코드 감염상황을 조사한 결과, 최초의 PC를 포함한 총7대에서 악성코드에 대한 감염을 확인했다고 합니다.

대책본부는 이들 PC를 네트워크상에서 분리하여 외부 전문기관에 분석을 의뢰했고 그 결과, 표적형 메일을 연 최초의 1대의 PC는 ‘Emdivi(엠디비)’라고 불리는 악성코드에 감염되어 있었던 사실이 확인되었습니다. 참고로, Emdivi는 나가노현 우에다(長野県上田)시와 와세다대학 등 일본조직에 가해진 사이버공격에서 사용되고 있는 RAT(Remote Access Tool)류의 악성코드입니다.

최초 감염된 PC 1대와 외부의 C&C서버와의 통신에 의해 PC가 원격조작되어 타 부서의 PC를 포함한 6대에 추가 감염이 발생한 것으로 확인되며, C&C서버와의 통신으로 내부정보가 유출될 가능성이 있기 때문에 JR홋카이도는 8월18일 저녁 무렵부터 업무용PC에서의 인터넷 접속을 최소한으로 한정하는 조치를 취했다고 합니다. 이 조치는 31일까지도 계속되고 있으며, 감사관청 등을 포함한 업무상 필요한 소수의 ‘화이트리스트’에 해당하는 Web사이트에만 접속이 가능한 형태로 유지되고 있는 상황입니다.

JR홋카이도는 8월27일까지 전사원을 대상으로 첨부파일이 첨부된 메일을 열 때 주의점 등을 철저히 주지시켰다고 합니다. 현시점에서는 개인정보가 유출된 흔적은 없지만 정보유출이 없었는지 여부의 확인도 포함해서 조사를 계속 진행중이며 새로운 사실이 판명된 경우는 조속히 외부에 공표한다는 입장입니다.

JR홋카이도가 침해사고 발생을 인지한 후 빠르게 관련 조치를 취하고 외부에 관련사실을 지속적으로 공유하는 모습이 인상적입니다.

참고 : 

http://itpro.nikkeibp.co.jp/atcl/news/15/083102805/?ST=security