スパイ　天国　情報戦　漏洩

6：NAME：2016/02/14(日) 00:19:16: 　カスペルスキーは、これらの攻撃を「ブルーターマイト」と名付けた。その攻撃手法は、米シマンテック日本法人（東京・港）が名付けたサイバー攻撃「クラウディオメガ」の実行者と共通する。

■ウイルス「エムディビ」は中国語

　攻撃組織は遠隔操作型のコンピューターウイルス「Ｅｍｄｉｖｉ（エムディビ）」を使う。「ワード」や「ＰＤＦ」など文書ファイルに似せたアイコンのファイルを添付し、特定の人物に「標的型メール」を送りつける。

　個人が添付ファイルをクリックすると、ウイルスが偽の文書を吐き出す。パソコン画面には「医療費通知のお知らせ」と題した文書を表示。その裏で、ウイルスはパソコン内に入り込む。攻撃者のパソコン画面には、ウイルス感染した端末の画面が転送され、遠隔操作して自由に中身を探索できる。

エムディビにはいくつかの特徴がある。そのうち、最も注目すべき点は、プログラミングコードだ。それは関係者から独自に入手した解析画面に隠されていた。

　画面の右端を見てみると、エムディビの部品の解析結果に「言語」欄がある。その一覧には「ＣＨ」の文字が並ぶ。中国語だ。関係者は「端末自体の言語設定が中国語となっている可能性が高い」と指摘する。エムディビは、中国語を自由に使える人物が作成したとみられる。

証拠はほかにもある。コードの一部には中国語の新聞記事や日本語の「相対性理論」の一文が挿入されている。　カスペルスキーの石丸傑分析官は「暗号の復元キーだ」と解説する。エムディビの指令サーバーの住所を示す「ドメイン名」を暗号化し、その復元プログラムとして不規則な中国語の記事などが使われているという。

　おとりの偽の文書には、中国語の簡体字が使われている。攻撃者が既存の文章をワードなどに複写した際に、端末の言語設定に引っ張られて、中国語でも使われる漢字が簡体字に変換されたと推測される。

■攻撃者は何者か、疑惑の４組織

　エムディビのほとんどは国内のサーバーから命令を受けて活動する。中小企業や個人事業主など管理の不十分なウェブサイトを乗っ取り、ウイルスの指令サーバーとして悪用する。トレンドマイクロによると、2014年の標的型攻撃でウイルスの通信元となった指令サーバーの設置国は、日本が44％を占め、前年の７倍に達した。

　トレンドマイクロの岡本勝之氏は「通信先が日本であれば、システム管理者も不審な通信と気づきにくい」と分析する。年金機構の場合、国内外の20カ所のサーバーが悪用され、ウイルスを制御していた。そのうち、東京都内の海運会社のサーバーに年金情報などが保管されていた。

　エムディビは一般的な通信規格を使って偽装する。外部からの通信を監視する防御壁「ファイアウオール」を社内に設置していても、ウイルスは不審がられずに素通りできる。「ワード」や「一太郎」など文書作成ソフトのセキュリティー上の欠陥（脆弱性）を悪用して文書に埋め込まれるタイプと、実行ファイル形式で送られるタイプの２種類がある。

　14年11月までは「文書埋め込み型」だったが、12月以降はクリックしたら感染する「実行ファイル型」が主流になった。セキュリティー大手ラックの西本逸郎最高技術責任者（ＣＴＯ）は「高度な技術を持っているのに、あえて簡単な手口を選ぶ。それだけ狙いやすいとみなされた証拠だ」と指摘する。

　手の込んだウイルス「エムディビ」を使いこなす攻撃者とは、誰なのか。複数の関係者に取材した結果、中国系の攻撃組織が関与した可能性が浮上した。

スパイ 天国 情報戦 漏洩