笹川平和財団

English
  • 財団について
    • 財団について
      • 財団について
      • 沿革
      • 事業方針・5つの重点目標
      • 評議員・名誉会長・役員名簿
      • ダイバーシティ&インクルージョン
      • 財務報告
      • 定款
      • 役員の報酬・退職金に関する規程
      • より良い調査研究への取り組み
      • 笹川名誉会長対談のアーカイブ
      • 2017年度までの事業について
    • 理事長からのご挨拶
    • ブロシュア・年次報告書
    • アクセス
    • Idea Submission
    • 採用情報
    • お問い合わせ
  • 研究員
  • 事業
    • 日米・安全保障研究ユニット
    • 総括・交流グループ
    • 安全保障・日米グループ
    • 戦略・抑止グループ
    • アジア・イスラム事業ユニット
    • 第1グループ:戦略対話・交流促進担当
    • 第2グループ:平和構築支援担当
    • 第3グループ:社会イノベーション推進担当
    • 笹川日中友好基金
    • 海洋政策研究所
    • 海洋政策実現部
    • 島嶼国・地域部
    • 奨学ユニット
    • 笹川奨学金事業グループ
  • リポート
    • 報告資料・出版物
    • 各種レポート
    • シンポジウム・講演会録
    • SPF NOW
    • 随想一筆
    • 新型コロナウイルス 日本と世界
    • 動画
    • 地域別新着情報
    • アメリカ
    • 北東アジア地域
    • 東南アジア地域
    • 南アジア地域
    • 中東地域
    • 大洋州地域
    • ヨーロッパ・ユーラシア
    • 北極域
    • アフリカ
    • サテライトサイト
    • 国際情報ネットワークIINA
    • SPFチャイナオブザーバー
    • アジア女性インパクトファンド
    • 島嶼資料センター
    • WMU友の会ジャパン
    • SPF日米関係インサイト
    • 海洋情報FROM THE OCEANS
    • 海洋教育パイオニアスクールプログラム
    • アジア平和構築イニシアティブAPBI
    • 碩果累々 継往開来 —笹川日中友好基金の軌跡—
    • サイバー安全保障研究
    • ロシアと世界
    • 日中関係データグラフ
  • ニュース
    • 新着情報
    • プレスリリース
    • メールマガジン
    • メディア掲載
  • イベント
  • 笹川奨学金
シンポジウム 講演会録

日本を狙う標的型攻撃の実態 

第2回サイバーセキュリティセミナー2019

講師:政本憲蔵氏


2019.11.01
16分

1 標的型攻撃とは

 本日は標的型攻撃の実態を中心にお話ししたいと思います。標的型攻撃は、俗な言い方をすれば「サイバースパイ」のことです。サイバー攻撃といっても範囲は広いので、今日は絞って話をしようと思います。まずサイバー攻撃を分類する際には、やはり攻撃する人のモチベーションで分類したほうが分かりやすいと思います。つまり、攻撃する目的によって大まかに三つに分けられます。一つ目は、政治的・社会的な主張を目的としているか、二つ目は、金銭の窃取を目的としているのか、三つ目は情報の窃取を目的としているのか、です。
 まず、政治的な主張をするためにあるホームページを攻撃してダウンさせたり、システムを破壊したりすることを「ハクティビズム」と呼びますが、今日はこれについて取り扱いません。次に金銭目的で攻撃することです。これを「サイバークライム」と呼びますが、では、誰がやっているのか。この一部は国家が絡むグループもやっている可能性が高いのですが、サイバークライムの多くは、東ヨーロッパやロシアなどにいる組織化された犯罪グループがメインです。たとえば、パソコンやスマホにウィルスを感染させて、不正送金をさせたり、クレジットカードの番号を盗んだりして、カネを窃取することです。ビジネスメール詐欺もそうです。
 最近の報道でも日系メディア米子会社が約32億円も流出させた事案がありました。9月にも日系自動車部品メーカー会社がビジネスメール詐欺に引っかかって、約40億円もの巨額を犯人の口座に振り込まされたとの報道がありました。その前には日系航空会社も約3.8億円未満の詐欺被害を受けたとの報道がありました。被害額は巨額に及び、経営にも影響します。
 それから情報を盗むことは、「サイバー諜報活動」と呼びますが、広く「標的型攻撃」と呼ぶことも多いです。特に日本を攻撃するのはアジア近隣地域からがほとんどで、ある程度政府機関も絡んでいる可能性は十分に高いかと思います。あとは、その国から依頼を受けた組織グループがあります。この活動では、カネではなく、情報を欲しがっています。特定の攻撃元がどのような情報や技術を欲しがっているのかが、サイバー攻撃先にも反映されてきます。

2 過去の攻撃事案

 最近の攻撃事案について、お話しする前に少し古い事案について見てみたいと思います。2015年の日本年金機構の個人情報が流出した事案です。当時、年金機構ばかりがクローズアップされていましたが、実は当時、民間企業や公的企業も含めると三ケタを超える組織がやられていました。
 私は、年金機構を攻撃したグループが作ったと思われるウィルスの検体163個をいろんな手段を使って集めて解析しました。年金機構の事案が明るみになったのは、2015年6月でしたが、我々はその前の2012年5月頃から同じ攻撃グループが活動していたことをつかんでいました。日本の民間企業や公的機関が次々と攻撃されているなと思っていたおりに、年金機構のニュースが飛び込んできました。

 まず、163個のウィルス検体が何年何月に作られたのかを調べてみました。特徴的なのは、2015年2月に(検体の作成数が)減ります。実は旧正月が入るため、少しお休みするわけです。また、何時何分に作られたのか、何曜日に作られたのかについても分析してみました。犯人グループは北京か上海にいると言う想定で、北京や上海がある中国標準時(UTC+8)で見ていくと、出社時間の朝8時から増え始め、17時頃を過ぎると減り始めますし、昼休み時にも減っています。たまに残業で22時まで作業していたりします。また、曜日別に見ても、土曜日および日曜日に作成された検体はほとんどありませんでした。
 要するに犯人グループは組織的に活動しているというわけです。一個人が興味本位でハッキングしているわけではないのです。我々と同じサラリーマンだったり、公務員だったりする人がタイムカードを押して、給料をもらってやっているわけです。
 これは年金機構を狙った犯人グループだけでなく、政府機関や民間企業から秘密情報や技術情報を盗み取るウィルスを分析すると、ほぼ同じような傾向が見られました。もちろん、偽装も可能ですが、当時の攻撃時にはあまり偽装されなかったのではないかと思います。

3 攻撃手法

 では、攻撃に使うビジネスメールとはどんなものか。たとえば、実際に年金機構に侵入した犯人グループがある民間企業に送り付けたメールには、「1月14日に開催された業務小委員会の議事録を送付いたします」と書かれてあります。普段の業務でも見かけるメールの内容で、実際に1月14日に開催されたものなんでしょう。そこで「議事録がようやく出来たんだ」と思いながら添付されたファイルを開くと、パソコン内の機密情報だけでなく、別途格納しているサーバからも機密情報は抜かれてしまいます。
 ここで少し技術的なことをお話しします。「おとりファイル」というのがあります。これは、たとえば、「医療費通知のお知らせ」という添付ファイルがついたメールを受信し、うっかりファイルを開けてしまうと、この中に入っているウィルスと「おとりファイル」が開きます。ウィルスに感染するので、遠隔操作でパソコンからいろんな情報が抜き取られるわけですが、肝心の医療費通知に関するファイルが出ないと不審に思われます。そこで、怪しまれないように業務に関係するファイルをおとりとして仕込んでおくわけです。
 ただ、この「おとりファイル」をよく見ると不自然なところがあります。それはフォントです。通常、日本ならば「MSゴシック」とか「明朝体」になるはずですが、よく見ると中国語のフォントである「SimSun」とあります。そこで、文字を見ると、たとえば、「健康保険組合事務所」の「組」が「组」だったり、「営」が「営」だったり、日本語の漢字とは少し違います。
 当時は攻撃者もわきが甘かったのか、こうしたミスも少し残してくれました。攻撃者も人間なのでミスするわけですが、最近はこのようなミスがなくなってきています。攻撃者も我々と同じように学習するので、ミスも少なくなるわけです。

4 最近の攻撃事案とその手法

 古い事案についてはこの辺までにして、次はこの1、2年ぐらいのスパンで観測した標的型攻撃をお話しします。「Winnti」(ウインチ)と呼ばれる攻撃グループがいます。最近、セキュリティ企業の「FireEye」(ファイア・アイ)社は「APT41」と呼んでいますが、いわゆる日本の化学系業界を狙った攻撃が活発に行われています。これは2018年に観測された攻撃です。
 細かい技術的なところは割愛して、かみ砕いてお話ししますが、ウェブサーバソフトウェアである「Internet Information Services(IIS)」のプロセスから「.dll」の拡張子を持つファイルが呼び出され、このファイルがまた別の「.dll」ファイルを呼び、さらにこのファイルがまた別の「.dll」ファイルを呼びだします。このファイルに実はウィルスのコードが仕込まれているわけです。これは暗号化されていますが、あるロジックで復号すると、メモリ空間にウィルスとして正体を現す、という流れになっています。
 つまり、ロシアの民芸品であるマトリョーシカ人形のように入れ子状態になっており、多段でマルウェアの正体を隠蔽するわけです。何度かダミーのようなファイルをかましておいて、最終的にメモリ空間上に本当のマルウェアの姿が出てくるのです。
 このメモリ空間上にあるというのが重要で、ウィルスというとファイルの状態になっているイメージがありますが、最近ではそうではなく、メモリ上だけに一時的にマルウェアが存在するような状態で活動するので、ファイルとして存在しないのです。
 早い話が、中国系のグループが遠隔操作で化学メーカーのサーバを操って、様々な機密情報を盗み出すのです。彼が活動している国は、たとえば、いろんな化学物質を作るのに、どのような物質と物質をどの程度の割合で配合すればよいのかというノウハウとか、レシピみたいなものを欲しがっているのではないか、ということは想像できます。
 他にも「Tick」(ティック)と呼ばれるグループがあります。「BRONZE BUTLER」(ブロンズ・バトラー)と呼んでいるところもありますが、この1~2カ月に観測した標的型攻撃です。このウィルスを遠隔操作する際に、攻撃者は正規のサーバを乗っ取って、攻撃するための遠隔操作用インフラとして使います。これを「C&Cサーバ」(C2サーバ)と呼びます。しかも、このウィルスは単独では動かないようになっています。
 攻撃グループは、狙いたい企業の端末に、特定のアプリケーションが動いていることが分かっていて、そのアプリケーションの下でウィルスを活動させようとします。むやみやたらに不特定多数に送り付けているわけではありません。「標的型」というのは、そういうことです。
 今年9月に観測したところですが、傾向として最近多くなっているのが日系企業の海外にあるグループ会社や孫会社から侵入するケースです。本社の場合、ある程度セキュリティ対策のレベルが上がっていますけど、海外の子会社になると意外とセキュリティ対策はできていません。そういうわきの甘い所から侵入して、本丸を狙おうとするわけです。
 要するに、本社が様々な会社をM&Aして一緒にビジネスをするとなると、ネットワークが本社につながってしまいます。そうなると、ろくにセキュリティ対策をしていないM&Aした会社のネットワークに本社のネットワークがリンクしてしまい、そこから侵入されるわけです。つまり、本社だけセキュリティ対策をしておけばよいという世界ではなくなってきたわけです。

 また、別の事案の話になりますが、「Elirks」(エラークス)と呼ばれているウィルスがあります。攻撃グループ名はいろいろとあるのですが、これは2016年に大手旅行会社が個人情報を窃取されたという事案がありましたが、その時に使用されたウィルスです。
 どんな活動をしていたかというと、攻撃者はブログを作って、そこに何かの記事を貼り付けます。この記事の中にウィルスが通信する遠隔操作先のIPアドレス情報が埋め込まれているわけです。ウィルスはこのブログから情報を読み取って、攻撃者が使う遠隔操作サーバに通信します。ブログ記事の中に悪意のある情報を埋め込んで、正規通信に見せかけながら攻撃を仕掛けていきます。

5 身近なビジネスメール詐欺

 最後にビジネスメール詐欺の実態についてお話ししようかと思います。その事例として、うちのグループ子会社になりすましたビジネスメール詐欺の事例を紹介します。子会社のドメインは「netpoleons.com」ですが、このうち「p」と「t」を逆にした類似ドメイン「neptoleons.com」を攻撃者が取得し、顧客にメールを送ったわけです。
 どのようなメールを送ったのかというと、銀行口座が監査を受けるために使えないので、今回のみ別の銀行口座に送金してほしいと伝えたのです。この時、顧客の方が、ドメインが少し違うということに気づいてくれたので、騙されることはなかったのですが、この手法に引っかかって振り込んだのが、冒頭にも触れました事例です。
 また、やはり、グループ会社になりすますために、ドメインの「o」と「e」を逆にして、「netpoloens.com」を取得し、今度はPDFファイルで銀行口座情報を送ってきました。実はこのPDFファイルを解析してみると、いつ作成されたのかという「クリエート・タイム」には「2019:03:27 10:13+01:00」とあります。つまり、2019年3月27日10時13分で、その後ろに「+01:00」とあるのは、世界標準時(UTC)から1時間の時差のある地域で作られたことを示しています。これを手掛かりに探してみると、ナイジェリアにたどり着きます。「ナイジェリアの手紙」という言葉も聞かれた方もいると思いますが、もちろん、ナイジェリアだけではないと思いますが、ナイジェリア発信のビジネスメール詐欺はかなり多いと思います。
 それから、弊社が所有する「macnica.com」でも同様の事案が発生しました。たとえば、「macniica.com」というドメインはよく見ると「i」が二つあり、これを見つけた時、マクニカになりすまそうとしている誰かがいるかもしれないと思いました。さっそくこのドメインをとったメールアドレスを調べて、そのメールアドレスが他にどのようなドメインをとっているのか調べてみると、面白いことに怪しいドメインを多くとっていることがわかります。
 たとえば、「beeloqistics.com」とか「hiqhwaylogis.com」というドメインは、「g」となるはずのところが「q」になっているわけです。また「pioneer-lndustrial.com」も「i」となるところが「l」になっています。つまり、正規の会社に似たドメインをたくさん取得しているわけです。このようなドメインを見つけたら、早く潰さないといけません。オンラインでは似たドメインを見つけるツールもあるので、活用されると良いと思います。
 また、ビジネスメール詐欺で実際に振り込んだ事案も紹介します。被害金額は確か600万円でした。調べてみると、なりすまされた方の企業のメールアカウントが実は乗っ取られていたことがわかり、振り込んだ企業も責任はあるのですが、なりすまされた企業のメールが盗み見されて、技術的な責任があるということで、損害金を300万ずつ按分しました。
 つまり、自分が所属している企業になりすまされて、取引先にビジネスメール詐欺で損害が発生した場合、その被害額を請求される可能性があるということです。
 ビジネスメール詐欺というのは、攻撃者である犯人としては、メールアカウントを乗っ取って、A社とB社で600万円の製品の取引があり、2週間後に振り込まれるようだという状況を把握するわけです。その上でタイミングよく詐欺を仕掛けるわけです。では、メールアカウントをどのように乗っ取るかというと、フィッシングやマルウェアを使いますが、やはりフィッシングが一番多く、最近ではマイクロソフトのクラウドサービス「Office365」のフィッシングが流行っています。偽のログイン画面に誘導されて、ユーザー名とパスワードを入力させるのです。実はこれも巧妙にできていて、ドメインもSSL証明書も正しいものを使っています。ここにユーザー名とパスワードを入れてしまい、犯人にとられてしまいます。二要素認証の実装など、ユーザー名とパスワードは窃取されるという前提に立った対策が必要です。


総括・交流グループ
Share

関連記事

Latest News

動画

ウェビナー「核不拡散条約(NPT)再検討会議報告会」を開催しました

2022.10.17
シンポジウム・講演会録

第2回 サイバーセキュリティセミナー2020 フェイクニュースは米国大統領選をどう変えたか~偽情報と民主主義:事例と対策~

2021.05.20
シンポジウム・講演会録

笹川平和財団主催「女性の政治参画への課題と展望」講演会
ズライダ・カマルディン(マレーシア住宅・地方政府大臣)基調講演

2020.06.02
もっと見る

pagetop

Video Title

Footer

笹川平和財団

  • 財団について
  • ニュース
  • 研究員
  • イベント
  • 事業
  • アクセス
  • リポート
  • お問い合わせ

最新情報

SPF(笹川平和財団)の最新情報をメールでお届けするサービスです(購読無料)。 講演会やシンポジウム等のイベント情報、サイト更新情報、報道発表資料などをご案内いたします。

メールマガジンの登録

サテライトサイト

  • 海洋情報FROM THE OCEANS
  • WMU友の会ジャパン
  • アジア女性インパクトファンド
  • SPF日米関係インサイト
  • 国際情報ネットワークIINA
  • 海洋教育パイオニアスクールプログラム
  • 島嶼資料センター
  • SPFチャイナオブザーバー
  • アジア平和構築イニシアティブAPBI
  • 碩果累々 継往開来 —笹川日中友好基金の軌跡—
  • サイバー安全保障研究
  • ロシアと世界
  • 日中関係データグラフ
  • プライバシーポリシー
  • サイトポリシー
  • SNSポリシー
  • サイトマップ
  • ウェブアクセシビリティ

Copyright © 2022 The Sasakawa Peace Foundation All Rights Reserved.