年金機構など遠隔操作ウイルスによるサイバースパイ、「攻撃者の素性」も解説
「Emdivi」使い多発する日本への標的型攻撃、ラックが詳細報告
2015年06月17日 06時00分更新
セキュリティ対策企業のラックは6月16日、日本国内の企業や組織を標的に展開されていると考えられるサイバースパイ活動への注意喚起を行った。発表会では、攻撃で使われる遠隔操作ウイルス「Emdivi(エンディビ)」の特徴や推測される攻撃者像、また標的型攻撃による被害を防ぐためのポイントが説明された。
ラック 最高技術責任者(CTO)の西本逸郎氏
ラック サイバー救急センター長の内田法道氏
発表会には、ラックからCTO 西本逸郎氏とサイバー救急センター長 内田法道氏が出席した。また、Emdiviマルウェアの解析を行ったマクニカネットワークス セキュリティ研究センター センター長 政本憲蔵氏も、オンラインで参加した。
Emdiviによる被害に「まだ気づいていない組織も多いのでは」
今回説明されたEmdiviを使った攻撃は、カスペルスキーが今月4日に報告したAPT攻撃「BLUE TERMITE」(関連記事)と同一のもの(ただしEmdiviはマルウェア、BLUE TERMITEは一連の攻撃キャンペーンの名称)。日本年金機構で発覚した情報漏洩事件も、多くの特徴が一致することから同じ攻撃キャンペーンの一部と推測される。
内田氏によると、顧客からの依頼によりラックが調査に当たったインシデントの中で、昨年(2014年)12月ごろからこのEmdiviの感染被害が見られるようになったという。ターゲットとなった組織には「業種/業態/規模に特定の傾向はない」、また「最近感染したわけではなく、4月より前に感染していた可能性が高い」と同氏は分析する。
ラックでは、昨年末ごろからEmdiviの被害を観測していた。最近になって被害の発覚件数が増えているが、かなり以前から感染していたものも多いのではないかと内田氏
またEmdivi感染被害の多くは、JPCERTやNISCといった外部組織からの連絡がきっかけとなって発覚しており、「ターゲット組織が自ら発見するのは困難だったのでは」と内田氏は説明した。「したがって、現在もまだ感染に気づいていない組織も多いと思われる」(同氏)。
標的型攻撃メールとEmdiviによる、組織への侵入と攻撃の流れ
マクニカネットワークスの政本氏は、同社で捕捉した65個のEmdiviサンプルの分析結果を明らかにし、そこから推測される「攻撃者の素性」について語った。なお、捕捉した中で最も古いサンプルは2013年9月までさかのぼるという。
年金機構事件と同様に、ターゲット組織へ最初の侵入を図る標的型攻撃メールは、ヤフーやエキサイトのフリーWebメールアドレスから送信されていた。添付ファイルはLZHまたはZIP形式で圧縮されており、本文はごく自然な日本語文で、添付ファイルを開くよう誘導する。
標的型攻撃メールのサンプル。ちなみに送付先は、各組織がWebで公開しているアドレスのほか「過去のサーバー侵害事件などで漏洩したものが使われた可能性もある」(政本氏)
圧縮ファイルを解凍すると、PDFやOfficeのドキュメントを偽装した実行ファイル(exeファイル)になる。これは「ドロッパー」と呼ばれ、実行するとひそかにEmdiviがPCにインストールされる。ただし、同時に無害な“おとりドキュメント”のファイルも生成されるため、ユーザーはマルウェアがインストールされたことには気づきにくい。
ドロッパーのアイコンはドキュメントファイルに偽装されているが、実体は実行ファイル(自己解凍型RARファイル)
実行すると、PCにEmdiviをインストールすると同時に“おとりファイル”を生成し、発覚を防ぐ
EmdiviがインストールされたPCは、外部のC&Cサーバー(攻撃指令サーバー)を介して攻撃者がリモート操作可能になる。攻撃者は、さらに攻撃ツールを送り込んで、具体的な攻撃に着手する。政本氏はその一部として、「ブラウザに記憶されているパスワードの窃取」「メール通信の盗聴やアカウント乗っ取り」「Windowsパスワードの窃取」「ドメインコントローラの脆弱性を突いた権限昇格」といった攻撃を紹介した。
POP3通信を傍受し、ユーザー名やパスワードを盗み出す攻撃例
ドメインコントローラの脆弱性を突き、権限昇格を行う攻撃例
なお、すでにカスペルスキーなども報告しているとおり、今回の攻撃で使われるC&Cサーバーの大半は日本国内にあるという。「一般企業のWebサイトなど、co.jpドメインのサーバーが悪用されているものがほとんど。一部、攻撃者が元々使っていたと思われる香港や米国のIPアドレスもあった」(政本氏)。
Emdiviから透けて見える攻撃者の素性は「個人でなく組織」
ちなみに、攻撃の中で生成される“おとりドキュメント”には「医療費通知のお知らせ」「セミナーへの参加申込書」「収支計算書」などのファイル名が付いていたが、ドキュメント本文には中国語フォントや不自然な日本語が見られたという。
おとりドキュメントのサンプル。一部の文字に日本語フォントではなく、Windows標準の中国語フォントである「SimSun」が使われている
さらに政本氏は、Emdiviのファイル作成日時に注目し、中国語フォントが使われる地域のタイムゾーン(UTC+8。中国や香港、台湾などの地域)と仮定して集計。その結果、平日のデイタイムに作成されたものが多かったことから、「個人ではなく、何らかの組織によって(業務として)作成されたということが強く推測される」と述べた。
65個のEmdiviサンプルの作成時間帯(左)および作成曜日の分布。なお政本氏によると、Emdiviは当初から体系化されたバージョン管理が行われており、段階的に機能追加が行われているという
ただし、中国人民解放軍など特定の国家組織がこの攻撃に関与しているのではないかという質問に対しては、「(何らかの)国家が背景にあることを示す状況証拠は、現在のところは確認していない」と述べるに留まっている。
ラックによる一般的な標的型サイバー攻撃の流れの図解(Emdiviを使った攻撃もこれに当てはまる)
(→次ページ、年金機構事件で教訓とすべきこと、今なすべきこと)
