ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソリューション・サービス
  3. サイバーセキュリティソリューション
  4. NEC Cyber Security Journal
  5. Techコラム
ここから本文です。

Techコラム

多発する偽装メールによるサイバー攻撃
その攻撃プロセスと巧妙な隠ぺい手法とは

2.ダミーの文書ファイルで攻撃を隠ぺい

攻撃に使用されたメールの件名は「医療費通知のお知らせ」でした。他の企業・組織においても、当該組織が加盟する健康保険組合になりすまし、医療費通知を偽装したメールが送付されています。他の類似攻撃では、人事部宛ての「求人の応募書類」や「訃報のお知らせ」などがあります。このような形で人間の心理的な隙につけ込み、目的の行動へと誘導していく手法を、「ソーシャルエンジニアリング」と呼びます。またメール文面だけではなく、メールのエンベロープ(メール送信や転送がどのように行われたのかを示す付加情報)にも、日本国内のネットワークを経由して配送されたことが記載されているため、過去の国外を経由した不正メールよりも気付きにくくなっています。

今回の攻撃では、「Emdivi(ファイル名は「vmmat.exe 」)」と呼ばれるマルウェアと、おとりのWord文書ファイルが使用されていました。メールには「医療費通知のお知らせ.lzh 」という圧縮ファイルが添付されており、これをクリックすると「医療費通知のお知らせ.exe 」という実行ファイルが展開されます。ファイルのアイコンはWord文書ファイルを偽装しているため、うっかり開いてしまう可能性があります。

3.ダミーの通信で攻撃者の通信を隠ぺい

マルウェアのEmdiviは、外部からのリモート操作を可能にする「リモートアクセスツール( RAT )」の一種です。RAT は攻撃者からの指令を受け、Windowsのcmd.exe(各種コマンドを実行するソフトウェア) を起動、ここからipconfigコマンドやnetコマンドといったWindows標準コマンドを実行していきます。これによって企業内ネットワークの情報やアカウント情報などを収集し、組織内LANに対するさらなる侵入と探索を試みます。これらはマルウェアによる自動実行ではなく、白昼堂々と遠隔から手動操作で行われていたことも、今回の攻撃の大きな特徴の一つです。リモートの攻撃者は、攻撃初期段階のインターネット接続環境の確認と不正なネットワークトラフィックを目立たないようにするため、Yahoo!やMicrosoftなどの正規サイトとの通信を行います。その裏側で、攻撃の踏み台にされたサイトと通信を行っていました。

最後に

7月に入ると、国内の正規Webサイトを介してEmdiviがインストールされる攻撃が発生しました。これは、正規Webサイトに不正コードが注入され、当該サイトにアクセスしたユーザーのPCがEmdiviに感染するものです。このインシデントの発端は、イタリアのセキュリティ企業が保有していた非公開の「Adobe Flash Playerに存在する脆弱性(CVE-2015-5119)」が情報漏えいしたことに起因します。Adobe Flash Playerの脆弱性はこれまでにも数多く悪用されており、2015年の1月~8月末までで、前年の倍以上の169件見つかっています。こうした脆弱性対策も重要な防御策の一つです。

「内閣サイバーセキュリティ(NISC)」による個人情報流出事案の報告

日本年金機構が2015年5月21日に受信した標的型攻撃のメールは以下の通りです。

これと同様のメールによる被害は、日本国内の様々な企業・組織の健康保険組合で多数発生しており、20社以上の健康保険組合が被害報告を公開しています(一般企業などでは被害報告を公開していないケースもあります)。また、内閣サイバーセキュリティセンター(NISC)からも「日本年金機構における個人情報流出事案に関する原因究明調査結果」が、8月20日に公表されています。その内容の一部を以下に掲載します。

「攻撃者は、「【医療費通知】」という件名で、医療費の通知を偽装するメールを準備、不正プログラムを圧縮して添付した上で、5月20日、機構の3つの公開メールアドレスに対して送信したと認められる。医療費の通知を偽装するメールは、昨年秋から広く出回っており、(中略)このメールの送信により攻撃者は端末1台を不正プログラムに感染させた。
この感染端末が指令サーバに接続した後、攻撃者は、当該端末を遠隔操作し、約30分後には当該端末のローカル管理者権限を奪取したと考えられる。その後、攻撃者は2時間以内に他の6台の端末を順次不正プログラムに感染させ、うち3台を遠隔操作下に置くことに成功した。
攻撃者は、すべての端末においてローカル管理者権限のID・パスワードが同一であったことを悪用し、短時間で感染を拡大させたと考えられる。」

ページの先頭へ戻る