日本を狙う標的型攻撃の実態　

　本日は標的型攻撃の実態を中心にお話ししたいと思います。標的型攻撃は、俗な言い方をすれば「サイバースパイ」のことです。サイバー攻撃といっても範囲は広いので、今日は絞って話をしようと思います。まずサイバー攻撃を分類する際には、やはり攻撃する人のモチベーションで分類したほうが分かりやすいと思います。つまり、攻撃する目的によって大まかに三つに分けられます。一つ目は、政治的・社会的な主張を目的としているか、二つ目は、金銭の窃取を目的としているのか、三つ目は情報の窃取を目的としているのか、です。
　まず、政治的な主張をするためにあるホームページを攻撃してダウンさせたり、システムを破壊したりすることを「ハクティビズム」と呼びますが、今日はこれについて取り扱いません。次に金銭目的で攻撃することです。これを「サイバークライム」と呼びますが、では、誰がやっているのか。この一部は国家が絡むグループもやっている可能性が高いのですが、サイバークライムの多くは、東ヨーロッパやロシアなどにいる組織化された犯罪グループがメインです。たとえば、パソコンやスマホにウィルスを感染させて、不正送金をさせたり、クレジットカードの番号を盗んだりして、カネを窃取することです。ビジネスメール詐欺もそうです。
　最近の報道でも日系メディア米子会社が約32億円も流出させた事案がありました。9月にも日系自動車部品メーカー会社がビジネスメール詐欺に引っかかって、約40億円もの巨額を犯人の口座に振り込まされたとの報道がありました。その前には日系航空会社も約3.8億円未満の詐欺被害を受けたとの報道がありました。被害額は巨額に及び、経営にも影響します。
　それから情報を盗むことは、「サイバー諜報活動」と呼びますが、広く「標的型攻撃」と呼ぶことも多いです。特に日本を攻撃するのはアジア近隣地域からがほとんどで、ある程度政府機関も絡んでいる可能性は十分に高いかと思います。あとは、その国から依頼を受けた組織グループがあります。この活動では、カネではなく、情報を欲しがっています。特定の攻撃元がどのような情報や技術を欲しがっているのかが、サイバー攻撃先にも反映されてきます。

　最近の攻撃事案について、お話しする前に少し古い事案について見てみたいと思います。2015年の日本年金機構の個人情報が流出した事案です。当時、年金機構ばかりがクローズアップされていましたが、実は当時、民間企業や公的企業も含めると三ケタを超える組織がやられていました。
　私は、年金機構を攻撃したグループが作ったと思われるウィルスの検体163個をいろんな手段を使って集めて解析しました。年金機構の事案が明るみになったのは、2015年6月でしたが、我々はその前の2012年5月頃から同じ攻撃グループが活動していたことをつかんでいました。日本の民間企業や公的機関が次々と攻撃されているなと思っていたおりに、年金機構のニュースが飛び込んできました。

　まず、163個のウィルス検体が何年何月に作られたのかを調べてみました。特徴的なのは、2015年2月に（検体の作成数が）減ります。実は旧正月が入るため、少しお休みするわけです。また、何時何分に作られたのか、何曜日に作られたのかについても分析してみました。犯人グループは北京か上海にいると言う想定で、北京や上海がある中国標準時（UTC+8）で見ていくと、出社時間の朝８時から増え始め、17時頃を過ぎると減り始めますし、昼休み時にも減っています。たまに残業で22時まで作業していたりします。また、曜日別に見ても、土曜日および日曜日に作成された検体はほとんどありませんでした。
　要するに犯人グループは組織的に活動しているというわけです。一個人が興味本位でハッキングしているわけではないのです。我々と同じサラリーマンだったり、公務員だったりする人がタイムカードを押して、給料をもらってやっているわけです。
　これは年金機構を狙った犯人グループだけでなく、政府機関や民間企業から秘密情報や技術情報を盗み取るウィルスを分析すると、ほぼ同じような傾向が見られました。もちろん、偽装も可能ですが、当時の攻撃時にはあまり偽装されなかったのではないかと思います。

　では、攻撃に使うビジネスメールとはどんなものか。たとえば、実際に年金機構に侵入した犯人グループがある民間企業に送り付けたメールには、「1月14日に開催された業務小委員会の議事録を送付いたします」と書かれてあります。普段の業務でも見かけるメールの内容で、実際に１月14日に開催されたものなんでしょう。そこで「議事録がようやく出来たんだ」と思いながら添付されたファイルを開くと、パソコン内の機密情報だけでなく、別途格納しているサーバからも機密情報は抜かれてしまいます。
　ここで少し技術的なことをお話しします。「おとりファイル」というのがあります。これは、たとえば、「医療費通知のお知らせ」という添付ファイルがついたメールを受信し、うっかりファイルを開けてしまうと、この中に入っているウィルスと「おとりファイル」が開きます。ウィルスに感染するので、遠隔操作でパソコンからいろんな情報が抜き取られるわけですが、肝心の医療費通知に関するファイルが出ないと不審に思われます。そこで、怪しまれないように業務に関係するファイルをおとりとして仕込んでおくわけです。
　ただ、この「おとりファイル」をよく見ると不自然なところがあります。それはフォントです。通常、日本ならば「MSゴシック」とか「明朝体」になるはずですが、よく見ると中国語のフォントである「SimSun」とあります。そこで、文字を見ると、たとえば、「健康保険組合事務所」の「組」が「组」だったり、「営」が「営」だったり、日本語の漢字とは少し違います。
　当時は攻撃者もわきが甘かったのか、こうしたミスも少し残してくれました。攻撃者も人間なのでミスするわけですが、最近はこのようなミスがなくなってきています。攻撃者も我々と同じように学習するので、ミスも少なくなるわけです。

　古い事案についてはこの辺までにして、次はこの1、2年ぐらいのスパンで観測した標的型攻撃をお話しします。「Winnti」（ウインチ）と呼ばれる攻撃グループがいます。最近、セキュリティ企業の「FireEye」（ファイア・アイ）社は「APT41」と呼んでいますが、いわゆる日本の化学系業界を狙った攻撃が活発に行われています。これは2018年に観測された攻撃です。
　細かい技術的なところは割愛して、かみ砕いてお話ししますが、ウェブサーバソフトウェアである「Internet Information Services（IIS）」のプロセスから「.dll」の拡張子を持つファイルが呼び出され、このファイルがまた別の「.dll」ファイルを呼び、さらにこのファイルがまた別の「.dll」ファイルを呼びだします。このファイルに実はウィルスのコードが仕込まれているわけです。これは暗号化されていますが、あるロジックで復号すると、メモリ空間にウィルスとして正体を現す、という流れになっています。
　つまり、ロシアの民芸品であるマトリョーシカ人形のように入れ子状態になっており、多段でマルウェアの正体を隠蔽するわけです。何度かダミーのようなファイルをかましておいて、最終的にメモリ空間上に本当のマルウェアの姿が出てくるのです。
　このメモリ空間上にあるというのが重要で、ウィルスというとファイルの状態になっているイメージがありますが、最近ではそうではなく、メモリ上だけに一時的にマルウェアが存在するような状態で活動するので、ファイルとして存在しないのです。
　早い話が、中国系のグループが遠隔操作で化学メーカーのサーバを操って、様々な機密情報を盗み出すのです。彼が活動している国は、たとえば、いろんな化学物質を作るのに、どのような物質と物質をどの程度の割合で配合すればよいのかというノウハウとか、レシピみたいなものを欲しがっているのではないか、ということは想像できます。
　他にも「Tick」（ティック）と呼ばれるグループがあります。「BRONZE BUTLER」（ブロンズ・バトラー）と呼んでいるところもありますが、この1~2カ月に観測した標的型攻撃です。このウィルスを遠隔操作する際に、攻撃者は正規のサーバを乗っ取って、攻撃するための遠隔操作用インフラとして使います。これを「C&Cサーバ」（C2サーバ）と呼びます。しかも、このウィルスは単独では動かないようになっています。
　攻撃グループは、狙いたい企業の端末に、特定のアプリケーションが動いていることが分かっていて、そのアプリケーションの下でウィルスを活動させようとします。むやみやたらに不特定多数に送り付けているわけではありません。「標的型」というのは、そういうことです。
　今年9月に観測したところですが、傾向として最近多くなっているのが日系企業の海外にあるグループ会社や孫会社から侵入するケースです。本社の場合、ある程度セキュリティ対策のレベルが上がっていますけど、海外の子会社になると意外とセキュリティ対策はできていません。そういうわきの甘い所から侵入して、本丸を狙おうとするわけです。
　要するに、本社が様々な会社をM&Aして一緒にビジネスをするとなると、ネットワークが本社につながってしまいます。そうなると、ろくにセキュリティ対策をしていないM&Aした会社のネットワークに本社のネットワークがリンクしてしまい、そこから侵入されるわけです。つまり、本社だけセキュリティ対策をしておけばよいという世界ではなくなってきたわけです。

　また、別の事案の話になりますが、「Elirks」(エラークス）と呼ばれているウィルスがあります。攻撃グループ名はいろいろとあるのですが、これは2016年に大手旅行会社が個人情報を窃取されたという事案がありましたが、その時に使用されたウィルスです。
　どんな活動をしていたかというと、攻撃者はブログを作って、そこに何かの記事を貼り付けます。この記事の中にウィルスが通信する遠隔操作先のIPアドレス情報が埋め込まれているわけです。ウィルスはこのブログから情報を読み取って、攻撃者が使う遠隔操作サーバに通信します。ブログ記事の中に悪意のある情報を埋め込んで、正規通信に見せかけながら攻撃を仕掛けていきます。

　最後にビジネスメール詐欺の実態についてお話ししようかと思います。その事例として、うちのグループ子会社になりすましたビジネスメール詐欺の事例を紹介します。子会社のドメインは「netpoleons.com」ですが、このうち「p」と「t」を逆にした類似ドメイン「neptoleons.com」を攻撃者が取得し、顧客にメールを送ったわけです。
　どのようなメールを送ったのかというと、銀行口座が監査を受けるために使えないので、今回のみ別の銀行口座に送金してほしいと伝えたのです。この時、顧客の方が、ドメインが少し違うということに気づいてくれたので、騙されることはなかったのですが、この手法に引っかかって振り込んだのが、冒頭にも触れました事例です。
　また、やはり、グループ会社になりすますために、ドメインの「o」と「e」を逆にして、「netpoloens.com」を取得し、今度はPDFファイルで銀行口座情報を送ってきました。実はこのPDFファイルを解析してみると、いつ作成されたのかという「クリエート・タイム」には「2019:03:27 10:13+01:00」とあります。つまり、2019年3月27日10時13分で、その後ろに「+01:00」とあるのは、世界標準時（UTC）から1時間の時差のある地域で作られたことを示しています。これを手掛かりに探してみると、ナイジェリアにたどり着きます。「ナイジェリアの手紙」という言葉も聞かれた方もいると思いますが、もちろん、ナイジェリアだけではないと思いますが、ナイジェリア発信のビジネスメール詐欺はかなり多いと思います。
　それから、弊社が所有する「macnica.com」でも同様の事案が発生しました。たとえば、「macniica.com」というドメインはよく見ると「i」が二つあり、これを見つけた時、マクニカになりすまそうとしている誰かがいるかもしれないと思いました。さっそくこのドメインをとったメールアドレスを調べて、そのメールアドレスが他にどのようなドメインをとっているのか調べてみると、面白いことに怪しいドメインを多くとっていることがわかります。
　たとえば、「beeloqistics.com」とか「hiqhwaylogis.com」というドメインは、「g」となるはずのところが「q」になっているわけです。また「pioneer-lndustrial.com」も「i」となるところが「l」になっています。つまり、正規の会社に似たドメインをたくさん取得しているわけです。このようなドメインを見つけたら、早く潰さないといけません。オンラインでは似たドメインを見つけるツールもあるので、活用されると良いと思います。
　また、ビジネスメール詐欺で実際に振り込んだ事案も紹介します。被害金額は確か600万円でした。調べてみると、なりすまされた方の企業のメールアカウントが実は乗っ取られていたことがわかり、振り込んだ企業も責任はあるのですが、なりすまされた企業のメールが盗み見されて、技術的な責任があるということで、損害金を300万ずつ按分しました。
　つまり、自分が所属している企業になりすまされて、取引先にビジネスメール詐欺で損害が発生した場合、その被害額を請求される可能性があるということです。
　ビジネスメール詐欺というのは、攻撃者である犯人としては、メールアカウントを乗っ取って、A社とB社で600万円の製品の取引があり、2週間後に振り込まれるようだという状況を把握するわけです。その上でタイミングよく詐欺を仕掛けるわけです。では、メールアカウントをどのように乗っ取るかというと、フィッシングやマルウェアを使いますが、やはりフィッシングが一番多く、最近ではマイクロソフトのクラウドサービス「Office365」のフィッシングが流行っています。偽のログイン画面に誘導されて、ユーザー名とパスワードを入力させるのです。実はこれも巧妙にできていて、ドメインもSSL証明書も正しいものを使っています。ここにユーザー名とパスワードを入れてしまい、犯人にとられてしまいます。二要素認証の実装など、ユーザー名とパスワードは窃取されるという前提に立った対策が必要です。