ＡＤＳＬ - 1036554230 - したらば掲示板

885：名無しさん：2015/06/21(日) 00:10:35: >>884

●業務でやり取りするような内容の添付ファイルを用いている

　おとりファイルを詳しく見てみよう。医療費通知を装ったWordの文書で、Emdiviでよく使われているものだ（日本年金機構へのメールでも医療費通知を装ったものがあった）。特徴的なのは、フォントが日本語のものではないこと。政本氏は「某国で使われるフォント」と述べたが、中国語の簡体字フォントだとみられる。

　たとえば、1行目の「健康保険組合運営事務局です。」を拡大すると、「組」や「営」の文字が日本語では使われないフォントになっているのが分かる。

　また、このおとりファイルでは、文章の末尾が「明らかにして、」で終わっている。明らかに不自然な日本語であり、犯人が日本語をコピペして作った時にミスしたものと思われる。攻撃者自身が作ったファイルと考えていいだろう。

　それに対して、こちらは「講演会開催のご案内」と題したPDFファイルが入っている。これは、インターネット上に実際に存在するファイルをPDF化して、おとりファイルとして利用したものだと確認できたという。これであれば日本語は自然であり、よりだまされやすいといえるだろう。

　これ以外にも、おとりファイルはいくつもある。「収支計算書」「社員向けの保険金配当の案内」「セミナーへの参加申込書」「GW休日と緊急連絡先の一覧表」など、企業活動に関係する内容となっている。これでは、開いてしまう人が出てもおかしくない。

　このように、Emdiviの標的型攻撃メールはとても巧妙だ。受信した企業や官公庁の職員に関連する内容で、思わず開いてしまう心理的な攻撃となっている。メールアドレスやフォント、文章の一部が不自然ではあるものの、いずれも見逃しやすい要素だ。もし犯人がミスに気づけば、今後は自然なものに直されるだろう。

●Emdiviは組織によって作られ、日本企業のサーバーを乗っ取って指令を出す

　マクニカネットワークスではEmdiviの検体を65個捕獲することに成功し、そこからさまざまなことが分かったという。マクニカの政本氏によるまとめを続けて紹介しよう。

　Emdiviの作成時刻をまとめたのが下のグラフだ。下の時刻は、おとりファイルにあったフォントが使われている国のゾーン時刻を参考として入れている（筆者注：中国語の簡体字フォントだったので、この場合は中国での時刻となる）。

　すると驚くべきことに、一般的な社会人の労働時間にピッタリ当てはまった。9時から12時までの午前中に多くウイルスが作成されており、13時の昼どき（昼休みか？）はいくぶん少なく見える。曜日で見ると、土曜日はゼロ、日曜日は2つだけと、土日はとても少なかった。ほとんどのウイルスが月曜日から金曜日の間に作られていたのである。

　この点から推測できることは、Emdiviは個人で作られたものではなく、明確な目的にしたがって組織によって作られたものであるということだ。

　Emdiviを分析したところ、挑戦的なメッセージも見つかった。「fuck you xxxxx」との表記があり、xxxxxの部分にはセキュリティー会社の名前が入っていたのことだ。

　こちらはEmdiviの指令サーバー、いわゆるC＆Cサーバーの一覧だ。特徴的なのは「co.jp」「.jp」など日本のサイトが多いこと。つまり、一般企業のWebサイトが攻撃者によって悪用されているわけだ。犯人グループが日本国内の企業サイトに侵入し、ウイルスへの指令サーバーに使っているのだ（日本年金機構の場合は、東京にある海運会社のWebサーバーが使われていた）。

　日本のサーバーに指令サーバーを置く理由だが、これは企業のセキュリティーをかいくぐるためだと想定できる。海外のIPアドレスからのアクセスは不審に思われてブロックされる可能性があるが、日本のアドレス、しかも企業のものであれば不審に思われずに済むということかもしれない。