セキュリティ対策ソフトのカスペルスキーは2015年6月4日、日本年金機構の個人情報流出事件(関連記事)を受けて、今回の標的型サイバー攻撃を解説する報道機関向け説明会を開催した。一連の標的型サイバー攻撃を「Blue Termite(ブルーターマイト)」と名づけた。

写真1●カスペルスキーの川合林太郎代表取締役社長
[画像のクリックで拡大表示]

 同社はブルーターマイトの活動が活発になった2014年秋ころからデータ収集と分析を続けてきた。川合林太郎代表取締役社長(写真1)は、「ブルーターマイトは日本全体を狙ったサイバー攻撃で、かつてない勢いで国内組織を襲っている。たまたま日本年金機構での被害が年金情報流出につながり大きく報道された。実はそれ以外の日本の官公庁や民間企業も標的になっている。『うちは大丈夫』という根拠の無い自信は捨てた方がよい」と警鐘を鳴らした。

日本語の実行ファイルで感染狙う

写真2●「ブルーターマイト」サイバー攻撃の手順
[画像のクリックで拡大表示]
写真3●メール添付などで送り込まれるマルウエア。Wordファイルを装った実行ファイル形式
[画像のクリックで拡大表示]

 ブルーターマイトはキャンペーン(一連の攻撃活動)の名称。まずPCをマルウエアに感染させた上で、マルウエアは組織外にある「指令サーバー」と通信する。攻撃者が操る指令サーバーからの遠隔操作の指示を受け取り、PC内のファイル窃取などを試みる。攻撃全体が日本の官公庁・企業を狙うことに特化して設計されているのが特徴だという。

写真2●「ブルーターマイト」サイバー攻撃の手順
[画像のクリックで拡大表示]
写真3●メール添付などで送り込まれるマルウエア。Wordファイルを装った実行ファイル形式
[画像のクリックで拡大表示]

 具体的な攻撃の手順はこうだ(写真2)。まず、攻撃者は「EMDIVI(エムディヴィ)」と呼ばれるマルウエア(ウイルス)やその亜種を電子メールに添付して標的に送る(関連記事:医療費通知を偽装した電子メールにご用心、遠隔操作ウイルス感染も)。カスペルスキーはEMDIVIの一例としてWordファイルに見せかけた実行ファイル(拡張子は.exe)を挙げた。ファイル名は「医療費通知のお知らせ.exe」「年賀状.exe」といったもので、PCで拡張子を隠す設定にしていると実行ファイルであることを見破りにくい(写真3)。

この先は会員の登録が必要です。今なら有料会員(月額プラン)が4月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら