2018年06月23日12時00分

日本年金機構の狙い撃ちで前代未聞の情報流出を招いた「Blue Termite」

  • この記事をはてなブックマークに追加
  • Pocket
CS

125万件の年金関連情報を流出させた「Blue Termite」攻撃

 2015年5月8日、日本年金機構の職員がいつものように業務をこなしていると、公開メールアドレスで外部ストレージサービスのリンク付きメールを受信しました。未曾有の公的機関情報流出事件につながるとも知らず、職員はこのリンクを開いてしまいます。その先に待ち構えていたマルウェア「Emdivi t17」は早速通信を開始、内閣サイバーセキュリティセンターは即座に不審な通信を厚生労働省に通知し、連絡を受けた年金機構はその日のうちに感染端末を隔離。全職員に向けて注意喚起を発しました。

 それから10日後の5月18日、今度は101人の年金機構職員の個人メールアドレス宛てに、業務を装った101通のメールが届きます。8日のものと同じだったこのメールアドレスを、年金機構は受信拒否指定しますが、翌日にはさらに20通の不審なメールを年金機構の各所で受信。セキュリティーソフト企業へ解析を依頼すると共に、高井戸警察署へ捜査依頼を出します。しかし時すでに遅く攻撃は第2段階へ進行していました。Emdivi t17は解析したネットワーク状況を基に、より高度なマルウェア「Emdivi t20」を呼び寄せ、情報窃取の準備を着々と進めていたのです。

 5月20日、新たに届いた5通のメールのうち1通をある職員が開封し、添付ファイルを開いてしまったことで、事態は決定的な局面を迎えます。Emdivi t20に感染した合計27端末が攻撃の拠点となり、多数の攻撃司令サーバーへ通信が発生しました。6月1日、年金機構は125万件にもおよぶ個人情報が流出したと発表。6月4日には年金機構ネットワークの全面遮断に踏み切りますが、ことごとく後手に回った対応が仇となり、年金システムの信用を大きく落としてしまうのでした。

 これら一連の攻撃を、カスペルスキーは「Blue Termite」と命名。2015年8月20日付けのブログでは、日本を標的にした攻撃であることや、攻撃司令サーバーのほとんどが日本国内にあること、Emdivi t17とEmdivi t20を複合的に用いて3段階の攻撃を仕掛けることなど、特徴を解説しています。また、2015年6月25日付けの日本経済新聞の記事では、Emdiviファミリーの解析で言語欄に中国語の指定があることなどから、中国語話者によるプログラム作成の可能性を指摘しています。

本物そっくりのメールやホームページなどで情報を盗む「フィッシング」

 ネット社会の詐欺手口として最も有名なもののひとつに「フィッシング」があります。本物のサービスそっくりのメールやホームページを用意してIDやパスワードを不正に聞き出す、探せば枚挙にいとまがない手口がフィッシングです。以前はメールが主流でした(これは今でも多数報告されています)が、2018年2月27日付けのマカフィーブログによると、最近では掲示板やSNSなどを利用したものも発生しているそうです。

 不特定多数を狙った一般的なフィッシングに対して、年金機構を襲ったBlue Termite攻撃は「スピアー型」あるいは「ターゲット攻撃」などと呼ばれています。2015年7月24日付けのESET公式ブログでは「攻撃相手のことをよく研究し、ごく自然に感じられる件名や本文、添付ファイル名などが付される」という特徴が指摘されています。年金機構の事件でも、検証報告書内で「非公開の職員メールアドレス宛に職員の姓名をメール本文に記載する形で送付されていた」という報告があります。

 冷静になって判別すると不自然な点が見えてくるスピアー型ですが、パッと見ではなかなかフェイク攻撃だとは気付きにくいもの。攻撃を受けた時に年金機構のような大事にならないためには、先手を打って大胆に対策を取ることも必要なのかもしれません。余談ですが、先のMcAfeeブログによるとフィッシングのスペルは「phishing」。語源となった魚釣りの「fishing」とは区別されています。

 この連載では、カクヨムで開催中の『サイバーセキュリティー小説コンテスト』を応援するべく、関連用語やその実例を紹介していきます。作品の深さを出すためには単に小説を組み立てるだけでなく、サイバーセキュリティーに関する知識も必要。コンテストに参加するな悩める小説家も、そうでない方も、改めてサイバーセキュリティー用語をおさらいしてみましょう。

サイバーセキュリティー小説コンテスト

ジャンル
 サイバーセキュリティに関連する小説であれば、SF、異世界もの、体験などジャンルは自由

応募
 プロアマ問わず。カクヨムへの会員登録が必要

大賞1名
 賞金100万円+書籍化

スポンサー賞
 マイクロソフト賞、サイボウズ賞、日立システムズ賞 各1名

応募期間
 3月31日~8月31日

主催
 特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)

運営
 株式会社KADOKAWA

後援
 サイバーセキュリティ戦略本部(協力:内閣サイバーセキュリティセンター NISC)

協賛
 日本マイクロソフト株式会社/サイボウズ株式会社/株式会社日立システムズ/株式会社シマンテック/トレンドマイクロ株式会社/株式会社日本レジストリサービス(JPRS)/株式会社ベネッセインフォシェル

コンテスト詳細
 https://kakuyomu.jp/contests/cyber_security

関連記事

あわせて読みたい

最新のニュース

アスキーストア人気ランキング

アクセスランキング

Like Ranking