/

一連のサイバー攻撃に新証拠 中国系組織が関与か

6月1日に日本年金機構がサイバー攻撃の被害を公表して以降、東京商工会議所や早稲田大などでも、サイバー攻撃で大量の個人情報が盗まれたことが発覚した。手口は、いずれも添付ファイルを介した典型的な標的型攻撃だった。一連の攻撃には、中国語に堪能な組織が関与したとみられる。日本は今、確実に標的となっている。

中国系組織の関与を裏付ける新証拠。ウイルス「エムディビ」を解析すると、端末の言語設定とプログラミングツールが中国語になっていることがわかった

「年金機構の攻撃は、氷山の一角。ほかにも多くの組織が被害に遭っている」

年金機構が事件を公表してから3日後の6月4日。セキュリティー大手カスペルスキー(東京・千代田)の川合林太郎社長は年金機構を含む一連のサイバー攻撃について、こう強調した。

日本年金機構の対応の流れ
5月8日公開アドレスに不正リンク付きのメール。九州ブロック本部の職員が開封
NISCが検知し、通報
感染パソコン1台を隔離
9日ウイルス「エムディビ」検出
12日全端末のウイルス対策ソフトを更新
15日対策ソフト会社が「外部に情報漏洩させるタイプではない」と報告
18日複数の職員に標的型メール
19日警視庁高井戸署へ捜査依頼、厚労省に報告
22日端末2台感染
23日端末19台でウイルス感染を確認
25日端末1台から情報送信
26日4台から情報が外部へ送信
28日警視庁から「流出データを発見」報告
厚労相に第一報
29日全拠点のネット回線を切断
厚労相に概要報告
6月1日公表

一連の攻撃では、企業や官公庁など300組織が標的となっているとみられる。「パトリオットミサイル」関連の防衛文書や製品の設計図、報道機関の社員情報などが抜き取られ、国内に設置された外部のサーバーに保管されていた。

カスペルスキーは、これらの攻撃を「ブルーターマイト」と名付けた。その攻撃手法は、米シマンテック日本法人(東京・港)が名付けたサイバー攻撃「クラウディオメガ」の実行者と共通する。

ウイルス「エムディビ」は中国語

攻撃組織は遠隔操作型のコンピューターウイルス「Emdivi(エムディビ)」を使う。「ワード」や「PDF」など文書ファイルに似せたアイコンのファイルを添付し、特定の人物に「標的型メール」を送りつける。

個人が添付ファイルをクリックすると、ウイルスが偽の文書を吐き出す。パソコン画面には「医療費通知のお知らせ」と題した文書を表示。その裏で、ウイルスはパソコン内に入り込む。攻撃者のパソコン画面には、ウイルス感染した端末の画面が転送され、遠隔操作して自由に中身を探索できる。

エムディビにはいくつかの特徴がある。そのうち、最も注目すべき点は、プログラミングコードだ。それは関係者から独自に入手した解析画面に隠されていた。

画面の右端を見てみると、エムディビの部品の解析結果に「言語」欄がある。その一覧には「CH」の文字が並ぶ。中国語だ。関係者は「端末自体の言語設定が中国語となっている可能性が高い」と指摘する。エムディビは、中国語を自由に使える人物が作成したとみられる。

エムディビのコードには、中国語や日本語の文章が交じっている

証拠はほかにもある。コードの一部には中国語の新聞記事や日本語の「相対性理論」の一文が挿入されている。

カスペルスキーの石丸傑分析官は「暗号の復元キーだ」と解説する。エムディビの指令サーバーの住所を示す「ドメイン名」を暗号化し、その復元プログラムとして不規則な中国語の記事などが使われているという。

おとりの偽の文書には、中国語の簡体字が使われている。攻撃者が既存の文章をワードなどに複写した際に、端末の言語設定に引っ張られて、中国語でも使われる漢字が簡体字に変換されたと推測される。

攻撃者は何者か、疑惑の4組織

エムディビのほとんどは国内のサーバーから命令を受けて活動する。中小企業や個人事業主など管理の不十分なウェブサイトを乗っ取り、ウイルスの指令サーバーとして悪用する。トレンドマイクロによると、2014年の標的型攻撃でウイルスの通信元となった指令サーバーの設置国は、日本が44%を占め、前年の7倍に達した。

トレンドマイクロの岡本勝之氏は「通信先が日本であれば、システム管理者も不審な通信と気づきにくい」と分析する。年金機構の場合、国内外の20カ所のサーバーが悪用され、ウイルスを制御していた。そのうち、東京都内の海運会社のサーバーに年金情報などが保管されていた。

エムディビは一般的な通信規格を使って偽装する。外部からの通信を監視する防御壁「ファイアウオール」を社内に設置していても、ウイルスは不審がられずに素通りできる。「ワード」や「一太郎」など文書作成ソフトのセキュリティー上の欠陥(脆弱性)を悪用して文書に埋め込まれるタイプと、実行ファイル形式で送られるタイプの2種類がある。

14年11月までは「文書埋め込み型」だったが、12月以降はクリックしたら感染する「実行ファイル型」が主流になった。セキュリティー大手ラックの西本逸郎最高技術責任者(CTO)は「高度な技術を持っているのに、あえて簡単な手口を選ぶ。それだけ狙いやすいとみなされた証拠だ」と指摘する。

手の込んだウイルス「エムディビ」を使いこなす攻撃者とは、誰なのか。複数の関係者に取材した結果、中国系の攻撃組織が関与した可能性が浮上した。

セキュリティー各社は14年秋から一連の攻撃について警告してきた。まずトレンドマイクロが12月、「医療費通知のお知らせ」と題した添付ファイル付き標的型メールの攻撃について、自社ブログで警鐘を鳴らした。シマンテックもブログで、「一太郎」の脆弱性を狙う攻撃作戦として「クラウディオメガ」を紹介した。

年金機構にも送られた標的型メール。本文は日本語で書かれてある

いずれの攻撃作戦でも、実行犯は同一の攻撃組織が関与しているとみられる。シマンテックは4つの組織の関連性を指摘する。

クラウディオメガの実行組織は、中国を拠点とする攻撃組織「ヒドゥンリンクス」、攻撃作戦「レイディーボイル」の実行組織の2者と密接なつながりがあるとされる。シマンテックの林薫分析官は「未知の脆弱性について情報共有している」と指摘する。

ヒドゥンリンクスは別名「オーロラ」とも呼ばれ、50~100人の工作員で構成される。特に、遠隔操作ウイルス「ハイキット」を使う。ハイキットは「ディープパンダ」という中国の攻撃組織も使っていた。

クラウディオメガ、ヒドゥンリンクス、レイディーボイル、ディープパンダ――。4組織は「中国」が共通項だ。

それを裏付けるような解析結果もある。IT(情報技術)機器販売のマクニカネットワークス(横浜市)は、エムディビ65個を作成時刻で解析した。北京との時差を考慮して計算すると、大半が午前8時~午後5時ごろに作られていたという。政本憲蔵セキュリティ研究センター長は「組織に属する人物が『業務』で、エムディビを作成したと考えられる」と指摘する。

中国は長年、米国を標的にしたサイバー攻撃作戦を実行してきた。米ファイア・アイ傘下のマンディアントは13年、中国人民解放軍のハッカー部隊「61398」について調査結果をまとめた。部隊は米国で広く技術情報などを盗もうとしていたとみられる。

米国では15年6月、政府職員の情報を管理する人事管理局がサイバー攻撃を受け、職員400万人分が盗まれた。この攻撃にも中国の部隊が関与したとされる。

マンディアントのトラヴィス・リース社長は「膨大な個人情報のデータベースを作るのが中国のハッカー集団の目的。年金機構もその一部で、個人情報の『グーグル』にでもなろうとしているのでは」と警告する。ただ現状では、「国家が背後で関与しているという決定的な証拠はない」(マクニカの政本氏)。

年金機構などを狙った攻撃組織の真の目的はわからない。多くの攻撃者は、ネットの闇市場で情報を売っている。今回の攻撃でも、盗難物の中には製品の設計図なども含まれていた。

ファイア・アイの調査では、海外では情報の一部が悪用され、戦闘機や家電製品などの模造品が出回っているという。企業が闇市場から盗難品の特許情報を買い、あたかも自社製品のように出している可能性がある。犯罪者は個人情報を悪用し、偽のクレジットカードやパスポートを作る。振り込め詐欺など別の犯罪にもつなげやすい。

サイバー犯罪に詳しいソフトバンク・テクノロジーの辻伸弘氏は「特に情報量が多く、使い勝手のいい個人情報の一覧表は闇市場で高く売れる」と指摘する。年金機構などの攻撃も「犯罪組織が保有する一覧表で、データの漏れや誤りをなくす意図があったのだろう」と推察する。

年金機構の攻撃でも使われた偽の「医療費通知」文書ファイル

日本国内では野党の国会議員などが「ウイルス入りの添付ファイルを開くという古典的手口に引っかかった」などと追及する。だが、攻撃者は日本語と中国語を理解し、対象者と外部の人間とのやり取りも盗み見たうえで、その会話の途中のような内容のメールを送りつける。そのメールに添付されたファイルを絶対に開かないといえるだろか。

カスペルスキーの川合社長は、こう指摘する。「注意深い人なら不審なメールを開くことはないなどという意見もあるが、絶対に開く。攻撃者はわざわざ怪しいメールを送らない。全く『不審』ではないメールに、人は引っかかる」

では、どう対処したらいいのか。情報処理推進機構(IPA)はいくつかの方法を提案する。まず最新のウイルス対策ソフトを端末に入れる。メールシステムを設定変更し、実行ファイルが添付されたメールを受信拒否する。このほかメールが届いたら、発信者のアドレスを確認する。ヤフーなどのフリーメールならば、注意した方がいいだろう。

さらに、ファイルの拡張子を表示する。メールの設定変更で表示させ、ファイルのアイコンの末尾に「.exe」という文字があれば、ウイルスの可能性が高い。重要な情報は、事前にパスワードをかけて暗号化する。攻撃者がファイルを盗んでも見られず、情報漏洩の被害を最小限に抑えられる。

つまり、基本的な安全対策で守れる部分も大きいということだ。日本は確実に標的となっている。この状況を正しく理解し、一人ひとりが身を守る術をまとうことが重要となっている。そうでなければ、日本全体の個人情報が、攻撃者の手に渡ってしまう。

(企業報道部 浅山亮)

すべての記事が読み放題
有料会員が初回1カ月無料

関連企業・業界

セレクション

トレンドウオッチ

新着

注目

ビジネス

ライフスタイル

新着

注目

ビジネス

ライフスタイル

新着

注目

ビジネス

ライフスタイル

フォローする
有料会員の方のみご利用になれます。気になる連載・コラム・キーワードをフォローすると、「Myニュース」でまとめよみができます。
新規会員登録ログイン
記事を保存する
有料会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。
新規会員登録ログイン
Think! の投稿を読む
記事と併せて、エキスパート(専門家)のひとこと解説や分析を読むことができます。会員の方のみご利用になれます。
新規会員登録 (無料)ログイン