ＡＤＳＬ - 1036554230 - したらば掲示板

ＡＤＳＬ

884：名無しさん：2015/06/21(日) 00:10:08: >>883

●年金機構で流出を招いたウイルス「Emdivi」

　今回の日本年金機構からの情報漏えいは、Emdiviと呼ばれるウイルスによるものだったことが分かっている。マクニカネットワークスによると、2013年9月に最初の検体が発見され、一連の攻撃や攻撃グループのことは「クラウディオメガ」とも呼ばれている。セキュリティーソフトを手がけるカスペルスキーは、一連の攻撃を「Blue Termite」（ブルーターマイト）と呼んでいるが、どちらも同じものだ。

　Emdiviを以前から追いかけているマクニカネットワークスセキュリティー研究センターセンター長の政本憲蔵氏による分析を紹介しよう。ラックが6月16日に実施したメディア向けの説明会「水面下で侵攻するサイバースパイ活動」での報告だ。

　以下の画像が、Emdiviが添付された標的型攻撃メールだ。マクニカネットワークスが収集したサンプルだが、日本年金機構でも基本的な部分はこれと同じスタイルだったと思われる。タイトルは「議事録送付」となっており、ZIP形式のファイルが添付されている（日本年金機構あての最初のメールではLZH方式だった）。

　差出人のメールアドレスはYahoo！メールのアドレスで、政本氏によればエキサイトの例もあるとのこと。Yahoo！メールやエキサイトの無料メールアドレスを用いている時点で疑わなければいけないが、氏名は実在する人なので見逃してしまう可能性もあるだろう。メールの文面は、自然な日本語が使われていた。

　Emdiviや犯人、指令サーバー（C＆Cサーバー）の関係を表したのが下の図だ。黄色がEmdiviのウイルス、青が指令サーバー（緑は指令サーバーのIPアドレス）である。マクニカネットワークスが調べているだけでも、Emdiviは65個が発見されているとのこと。日本年金機構以外の企業や団体にも侵入している可能性が高い。

　添付された圧縮ファイルには、このようなファイルが含まれている。ターゲットに開けさせるためのおとりファイルで、WordやExcel、PDFのアイコンが付いているが、これらはすべて偽装である。実際には「.exe」の実行ファイル形式で、「ドロッパー」と呼ばれるプログラムである。

　このドロッパーをダブルクリックすると、2つのファイルが開かれる。1つがおとりファイルで、受信者が興味を引きそうな文章が開く。これにより、ファイルを開いた被害者は怪しまずにそのまま放置してしまうのだ。この裏で、もう1つのファイル「RAT」＝遠隔操作ツールが実行される。これがEmdiviだ。

※書き込む際の注意事項はこちら

※画像アップローダーはこちら

（画像を表示できるのは「画像リンクのサムネイル表示」がオンの掲示板に限ります）