2.ダミーの文書ファイルで攻撃を隠ぺい

攻撃に使用されたメールの件名は「医療費通知のお知らせ」でした。他の企業・組織においても、当該組織が加盟する健康保険組合になりすまし、医療費通知を偽装したメールが送付されています。他の類似攻撃では、人事部宛ての「求人の応募書類」や「訃報のお知らせ」などがあります。このような形で人間の心理的な隙につけ込み、目的の行動へと誘導していく手法を、「ソーシャルエンジニアリング」と呼びます。またメール文面だけではなく、メールのエンベロープ（メール送信や転送がどのように行われたのかを示す付加情報）にも、日本国内のネットワークを経由して配送されたことが記載されているため、過去の国外を経由した不正メールよりも気付きにくくなっています。

今回の攻撃では、「Emdivi（ファイル名は「vmmat.exe 」）」と呼ばれるマルウェアと、おとりのWord文書ファイルが使用されていました。メールには「医療費通知のお知らせ.lzh 」という圧縮ファイルが添付されており、これをクリックすると「医療費通知のお知らせ.exe 」という実行ファイルが展開されます。ファイルのアイコンはWord文書ファイルを偽装しているため、うっかり開いてしまう可能性があります。

3.ダミーの通信で攻撃者の通信を隠ぺい

マルウェアのEmdiviは、外部からのリモート操作を可能にする「リモートアクセスツール（ RAT ）」の一種です。RAT は攻撃者からの指令を受け、Windowsのcmd.exe（各種コマンドを実行するソフトウェア） を起動、ここからipconfigコマンドやnetコマンドといったWindows標準コマンドを実行していきます。これによって企業内ネットワークの情報やアカウント情報などを収集し、組織内LANに対するさらなる侵入と探索を試みます。これらはマルウェアによる自動実行ではなく、白昼堂々と遠隔から手動操作で行われていたことも、今回の攻撃の大きな特徴の一つです。リモートの攻撃者は、攻撃初期段階のインターネット接続環境の確認と不正なネットワークトラフィックを目立たないようにするため、Yahoo!やMicrosoftなどの正規サイトとの通信を行います。その裏側で、攻撃の踏み台にされたサイトと通信を行っていました。

最後に

7月に入ると、国内の正規Webサイトを介してEmdiviがインストールされる攻撃が発生しました。これは、正規Webサイトに不正コードが注入され、当該サイトにアクセスしたユーザーのPCがEmdiviに感染するものです。このインシデントの発端は、イタリアのセキュリティ企業が保有していた非公開の「Adobe Flash Playerに存在する脆弱性(CVE-2015-5119)」が情報漏えいしたことに起因します。Adobe Flash Playerの脆弱性はこれまでにも数多く悪用されており、2015年の1月～8月末までで、前年の倍以上の169件見つかっています。こうした脆弱性対策も重要な防御策の一つです。