豊中市電子申込システムの運営業務に当たり、以下のとおりメール情報が流出した可能性があり、不審メールが発信されるという事案が発生しました。
1 事案の概要
豊中市が利用する電子申込システムを提供するサービス提供事業者((株)NTTデータ関西)の利用者向けヘルプデスク、コールセンター業務(以下、「ヘルプデスク」という。)で使用しているパソコン8台のうち1台がマルウェア(Emotet)に感染し、過去に送受信したメールが流出した可能性があることが判明いたしました。
同システムは、全国の約800の自治体で利用されているクラウドサービスであり、現在、一部自治体のヘルプデスクを騙った第三者からの不審なメールが発信されている事実を確認しております。(豊中市関係は確認されておりません。)
2 流出した可能性のある情報等
令和4年3月10日から6月8日までにヘルプデスクにお問い合わせいただいたメール情報
| 件 数 | 総数 2,312件(※1)うち豊中市関係 136件(※2) |
|---|---|
| 流出情報 | メールアドレス、メール本文、添付ファイル |
※1 全国の約800団体で利用されているクラウドサービスであり、全国で2,312件が流出した可能性があります。
※2 電子申込システムを利用し、申込された情報等は流出していません。
3 現時点で判明している不審メールの件数
システムを利用している7自治体用のヘルプデスクの名前をかたり、9件の不審メールが確認されています(豊中市関係は含まれていません)。
■不審メールの例
(1)メール送信元
攻撃者のメールアドレス(表記は電子申請サービスコールセンターですが実際の送信元は異なり、不特定です)
正規: help-shinsei-toyonaka-city@s-kantan.com <help-shinsei-toyonaka-city@s-kantan.com >
不正: help-shinsei-toyonaka-city@s-kantan.com <xxx@xxx.xxx.xxx>
↑第三者のアドレス
(2)件名
RE:(過去にやり取りしたメールの件名) など
過去にヘルプデスクにお問合せいただいた際のメール件名が表示されている場合があります
(3)本文
過去の問合せ内容を流用していたり、本文が文字化け(?の羅列など)している場合があります。
Zipファイルが添付さていることが多いです。
(4)受信時の対応
不審メールにファイルが添付されている場合は絶対に開かず、メールを削除してください。
4 事案の経緯
| 日 付 | 状 況 |
|---|---|
5月20日 | ヘルプデスクに届いた不審メールを申請者からの問合せと誤認し、添付ファイルを実行し、マルウェアに感染 |
6月6日 | ヘルプデスクのメールアドレスをかたった不審メール1件の申告を受託事業者が受領。以降、複数の利用団体から不審メールの申告を受託事業者が受領 |
6月8日 | アンチウイルスソフトによりマルウェアを無害化 |
6月23日 | 業務パソコン1台が過去にマルウェア感染していた痕跡を検出し、5月20日に感染したことが判明 |
6月29日 | 当該パソコンから情報流出したメール(2,312件)を特定 |
5 対応
- 7月2日(土曜日)、7月3日(日曜日)の市へのお問合せ窓口を開設しています。
問合せ先電話番号:06-6858-2669(7月5日以降のお問合せも左記にご連絡ください) - 通常のヘルプデスクと異なる、専用のコールセンターを設置しています。
電子申請サービス不審メール問合せ窓口:0120-187-266 - 流出した可能性のある対象者の方に対し、電子申請サービスコールセンターよりお詫びと注意喚起のメールを送信しています。
- 市ホームページ及び電子申込システムページに注意喚起等のご案内を掲示しています
※状況が判明し次第随時更新してまいります。
6 Emotetに関する参考情報
Emotetに関する参考情報
- JPCERT/CC「マルウェアEmotetへの対応FAQ」(外部サイト)
- JPCERT/CC「マルウェアEmotetの感染再拡大に関する注意喚起」(外部サイト)
- 警視庁「Emotet(エモテット)感染を疑ったら」(外部サイト)
- 「Emotet感染有無確認ツールEmoChec」(外部サイト)
※ EmoCheckは最新バージョンのものをご利用ください。