文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    34組織で年金機構と同じウイルス感染か

    • JPCERT/CCの久保啓司氏(右)とカスペルスキーの前田典彦氏(左)(JNSAワークショップ)
      JPCERT/CCの久保啓司氏(右)とカスペルスキーの前田典彦氏(左)(JNSAワークショップ)

     日本年金機構流出と同じ手口で、官公庁や企業が被害を受けている。34組織がウイルス感染していると思われ、公表されているものより被害は大きそうだ。(ITジャーナリスト・三上洋)

    「Emdiviと思われる通信を34組織で検知」JNSAワークショップ

     日本年金機構から始まったサイバー攻撃は、被害が大きく広がっている。この連載の先週の記事で、10組織でウイルス感染・情報流出が起きていることを伝えたが、その後にも法務省や早稲田大学などでウイルス感染・情報流出が確認された。多くが年金機構と同じ手口(もしくはウイルス、一連の攻撃)である「Emdivi(エンディヴィ)」である可能性が高い。

     一連の事件について、セキュリティー関連の業界団体・JNSA(日本ネットワークセキュリティ協会)が、26日「緊急時事ワークショップ~他人ごとではない、サイバー攻撃を受けた組織の選択肢」として、メディア向けの説明会を開いた。

     まず全体の被害状況を、国内のセキュリティー情報収集・対応支援を行うJPCERT/CC(JPCERTコーディネーションセンター、Japan Computer Emergency Response Team Coordination Center)の久保啓司氏が紹介した。

    • JPCERT/CCによる標的型攻撃に関する通知連絡。2015年4月から6月23日までで、34組織に対して年金機構と同じ手口と思われるEmdivi関連の通知を行っている
      JPCERT/CCによる標的型攻撃に関する通知連絡。2015年4月から6月23日までで、34組織に対して年金機構と同じ手口と思われるEmdivi関連の通知を行っている
    • JPCERT/CCでのインシデント(セキュリティートラブル)調整件数の推移。2015年1月から急激に増えている
      JPCERT/CCでのインシデント(セキュリティートラブル)調整件数の推移。2015年1月から急激に増えている

     それによると、JPCERTでは4月から6月23日までの約3か月で、34組織に対して「Emdiviに関連したと思われる通信を検知した」と通知している。調査目的の通信もあるので、すべてがウイルス感染とは限らないが、最大で34組織が、年金機構と同じサイバー攻撃の被害を受けている、と考えてもいいだろう。

     それに対して、公表されているウイルス感染・情報流出は15~16組織と思われる(報道を基に筆者が調べた数字)。まだ公表していない組織が、最大で18組織前後あることになる。公表するかどうかは、それぞれの組織の判断になるが、年金機構と同じEmdiviの被害は、思った以上に大きいのだ。

     JPCERTでは国内の企業・自治体などでのセキュリティートラブルを扱っているが、2015年に入ってトラブルの件数が急増している。左のグラフは、2013年度と2014年度を比べているが、2015年1月から3月までが大きく増えており、日本国内でのセキュリティートラブルが目立って増えていることがわかる。Emdivi以外の手口でも、日本が狙われていると考えていいだろう。

    狙われる報道機関。理由は「添付ファイルを開きやすい」から?

     続いてセキュリティー大手・カスペルスキーの前田典彦氏が、詳しい手口について解説した。カスペルスキーでは、日本年金機構でのEmdiviなど一連の攻撃を「ブルーターマイト」と呼んでいるが、特徴は「日本だけが集中的に攻撃されている」ことにあるという。

    • カスペルスキーが調査したブルーターマイトの指令サーバードメイン。日本(JP)が93%を占める
      カスペルスキーが調査したブルーターマイトの指令サーバードメイン。日本(JP)が93%を占める

     この円グラフは、一連の攻撃での指令サーバーの場所を集計したもの。犯人は遠隔操作する時に、指令サーバー(C&Cサーバー)を通じて命令を送るが、そのサーバーがどこの国にあるかをまとめている。なんと93%はJP、つまり日本にある。日本の組織に侵入し、そこを足場として、他の企業や組織で感染したウイルスを操っていることになる。

     前田氏は「標的型攻撃では、過去にも日本を狙ったものはあった。しかし攻撃対象のうちの1つが日本だというだけで、他の国もやられていた。しかしブルーターマイトは、ほぼ日本だけをターゲットにしている。今までにない日本だけを狙う標的型攻撃と言えるだろう」と分析している。

    • ブルーターマイトの攻撃対象機関。特定の産業を狙っているわけではないが、報道機関ではメールアカウントを狙って情報収集している模様だ
      ブルーターマイトの攻撃対象機関。特定の産業を狙っているわけではないが、報道機関ではメールアカウントを狙って情報収集している模様だ
    • カスペルスキー前田氏による提言。攻撃を受けること、被害にあうことは恥ではない。攻撃にあった事実は、次への対策の財産として共有するべきだとしている。
      カスペルスキー前田氏による提言。攻撃を受けること、被害にあうことは恥ではない。攻撃にあった事実は、次への対策の財産として共有するべきだとしている。

     被害組織は幅広く、特定の業界などが狙われているわけではない。しかし注意すべき点が1つあると前田氏は言う。「報道機関にもブルーターマイトの標的型メールが届いている。カスペルスキーの観測では、報道機関への攻撃でメールアカウントのID・パスワードを盗み取り、メール情報を収集しているようだ」

     Emdiviは報道機関も狙っているのだ。しかもメールアカウントのID・パスワードを盗み取って、メールの中身を読もうとしている。これについて司会を務めたマイクロソフトの高橋正和氏は「報道機関からのメールは開いてしまいやすい。『取材依頼』などの添付ファイルにすれば開封率が高くなり、感染が広がりそうだ。またマスコミであれば大企業や官庁とのやり取りがあるのが普通なので、ターゲットにしやすいのかもしれない」と推測した。

     報道機関の記者であれば、多くの企業や官公庁とメールのやり取りをしているはずで、標的型攻撃のターゲットを探すのにも向いているだろう。筆者も警戒したほうがよさそうだ。

    LAC西本氏「割れ窓現象」「公開した組織はほめてあげたい」

    • LACの西本逸郎氏(左)と司会の日本マイクロソフト・高橋正和氏(JNSAワークショップ)
      LACの西本逸郎氏(左)と司会の日本マイクロソフト・高橋正和氏(JNSAワークショップ)

     企業向けセキュリティー大手のLAC・西本逸郎氏は「年金機構では、感染後の処置が甘かった。最初の指摘(NISCによる不審な通信の指摘)があった8日はともかくとして、2度めの22日の指摘で緊急対応すべきだったろう」として、事件後の対応が重要だと述べた。

    • パスワードをかけるルールが一部で形骸化していた。LACの西本氏は「典型的な割れ窓現象だ」とする
      パスワードをかけるルールが一部で形骸化していた。LACの西本氏は「典型的な割れ窓現象だ」とする

     また西本氏は1つのルールが破られると、他も緩くなってしまう「割れ窓現象」についても述べている。「年金機構では、ファイル保存のパスワードをかけていないところが多かった。パスワードをかけるというルールを一回破ると、それが蔓延(まんえん)してしまう。大都市で割れた窓を放置しておくと、都市全体の治安や雰囲気が悪くなるのと同じだ」として、パスワードや暗号化などのルールが実際に機能しているか、チェックしたほうがいいと指摘している。

     年金機構の事件を通して、西本氏は「メディアや一般の方の反応を見ると『ウイルス感染は水際で阻止できるもの』と思っている方が多い。しかし現実には、標的型攻撃を水際で防ぐことは不可能だ。ウイルス感染は必ず起きるものであり、攻撃された組織を責めても仕方がない」と呼びかけた。

     筆者もメディアの人間であるので、反省すべき点がある。というのはウイルス感染や情報流出事件では「なぜ起きたか」「問題はどこにあったか」を追及することで、被害組織を責める形になってしまうからだ。サイバー攻撃を受けたことを責めずに、事故後の対応と今後の改善策について取り上げるようにしていきたいものだ。

     西本氏は「被害組織をメディアが批判するほど、企業は『公開したほうが損だ』と思ってしまう。隠蔽体質となり、被害や情報流出を隠すようになるだろう。これでは社会全体にとってマイナスだ。被害者を責めずに、攻撃者を責めるように報道してもらいたい。そして企業が被害を公開したら『よく公開した』とほめてほしい」と述べた。

    • JPCERT/CCから届く通知メールの例
      JPCERT/CCから届く通知メールの例

     最後に企業がJPCERT/CCからの通知があった場合の対応をまとめておきたい。まず通知は左のようなメールが届く。これを基に事実確認をして、わからない点があればJPCERT/CCに問い合わせよう。その上で「事実の確認と被害範囲の特定」を行い、必要であればネット遮断をすること。その後に「復旧への本格対応」を実施する。JPCERT/CCの久保氏は「報道では個人情報流出ばかりが取り上げられているが、犯人は企業のあらゆる情報を狙っている。知財情報や機密情報が漏れている可能性があるので警戒してほしい」と呼びかけた。

    ●参考記事

    年金機構に続き10組織でウイルス感染・流出:サイバー護身術

    年金機構流出:3度の判断ミスで流出拡大:サイバー護身術

    新技術利用で巧妙化、警察庁・サイバー脅威動向:サイバー護身術

    2015年06月26日 17時15分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い。
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP