サイバー攻撃体験記

中国発のサイバー攻撃で米主力兵器の設計図が流出

このところサイバー攻撃に関する話題がメディアに登場しない日がないほど、サイバー空間をめぐる犯罪やスパイ行為が大きな社会問題になっている。しかしそんな中でも5月28日に米『ワシントン・ポスト』紙が報じた内容は、衝撃的なものだった。

同紙は、米国防総省の諮問機関「国防科学評議委員会」がまとめた秘密の報告書を元に、「ミサイル防衛や最新鋭戦闘機などの設計情報が、中国のハッカーによるサイバー攻撃で盗まれていた」と伝えたのである。国防科学評議委員会はこれに関して中国政府を直接非難することは避けているものの、『ワシントン・ポスト』紙は、「ほとんどのケースが中国政府による米軍事産業や国防当局に対する組織的なスパイ作戦の結果である」という軍の高官や軍事産業関係者のコメントを引用している。

流出したとされるのは、米軍のアジア、欧州やペルシャ湾地域のミサイル防衛の柱となるパトリオット・ミサイル「PAC-3」、「終末高高度防衛ミサイル（THAAD）」と呼ばれる米陸軍の弾道弾迎撃ミサイル、海軍の「イージス弾道ミサイル防衛システム」、F/A-18戦闘機、V-22オスプレイ、ブラックホークヘリコプター、F-35統合打撃戦闘機の設計情報などを含む米国防総省の40近くの兵器プログラムや30近い防衛技術関連のデータだった。

カーニー米大統領報道官は同日、オバマ大統領が６月７、８日に米カリフォルニア州で行われる米中首脳会談において、米国の政府・企業に対する中国発のサイバー攻撃を最優先議題として習近平国家主席に提起することを明らかにしている。

なりすましメールの被害実例

このような米国の軍事企業を狙ったサイバースパイとはかなり次元が違うが、こうした広義の「サイバー攻撃」は日常的に行われるようになっており、筆者も昨年以来3回、いわゆる「標的型攻撃メール」による「サイバー攻撃」を受けている。最近では5月3日にも、それまでとは異なる手口の「標的型攻撃メール」を受け取ったばかりだ。「標的型攻撃メール」とは、「特定の企業や組織、個人に対して、だましのテクニックを使い添付ファイルを開かせたり、ウェブアクセスを誘うことでウィルスに感染させる攻撃の一つ（独立行政法人情報処理推進機構）」である。

これまでも、攻撃を受ける度に、筆者のウェブサイトやメルマガで注意喚起を呼びかけてきたのだが、最近、独立行政法人情報処理推進機構（IPA）より「受け取った標的型攻撃メールについての情報提供をお願いしたい。まだ解析したり情報分析するための実例が少ない」との問い合わせを受け情報提供をしたこともあり、この種の脅威についてより広く読者の皆様と情報を共有する必要があると判断し、以下、私の体験した「サイバー攻撃」についてご紹介したい。

まずは昨年（2012年7月）の事例を紹介しよう。親しくしている友人から以下のようなメールを受け取った。

「先日、菅原さんから次のようなメールが届きました。なんかおかしいなと思っていたのですが、先ほど、知人から似たような被害にあったとの知らせがありまして、メール受信からだいぶ日がたってしまいましたが、菅原さんにも連絡しておきます。ただ、添付ファイルをウィルス・チェックしたところ、何も検出されませんでした。」

その友人が私から受け取ったというメールは以下のようなものだった。

そしてメールにはファイルが添付されていたという。だいたい私はこんなぶっきら棒なメールは書かないのだが、このメールの差出人は、私の名前になっており、「菅原出(osint_mag@yahoo.co.jp) 」となっていた。私は毎週会員向けにメルマガを発行しており、その一斉配信に利用しているメールアドレスは（osint_mag@i-sugawara.jp）であり、明らかにこれを真似た悪質なメールである。もちろん、このメールを受け取ってからすぐに私のメルマガの読者には「なりすましメールにご注意を」という警告メールを配信した。そしてサイバーディフェンス研究所の名和利男氏に解析を依頼した。

名和氏によると、この「なりすましメール」に添付されていたファイルは「極めて悪質なマルウェア」で、国内で流通している主要なウィルス対策ソフト（トレンドマイクロ、マカフィー、マイクロソフトのエッセンシャル等）では、その時点では検知できないものだった。このマルウェアの脅威については、「一度感染するとシステム内部に深く入り込み、ルートキットと呼ばれる“後から入れ込むマルウェアのための隠蔽工作をする特殊なマルウェア”として活動する可能性が高い」と名和氏は解析されていた。

名和氏によれば、「菅原さんのメールでのやり取りをしている日本人の著名な方のメールアドレスのアカウントがハイジャックされ（乗っ取られ）、そのコンタクトリストにある方たちが、今回の攻撃対象となった可能性があります。攻撃者は乗っ取ったメールのやり取りを眺めて、攻撃対象に対して、菅原さんからの配信に見立てた方が、自然であることを理解して、実行に移したのではないでしょうか」と分析されていた。

2度目のなりすましメールは、今年の1月22日に送られていた。こちらも別の友人から「菅原さんの名前で不審なメールが送られてきました。これ菅原さんからのメールではないですよね？」という確認のメールを受け取って知らされた。昨年警告メールを出しておいた効果か、その友人は「なんか変だ」と気づき、また「なりすましメール」ではないか、と疑って知らせてくれたのである。

そのなりすましメールは以下のようなものであった。

そして国際ニュース解説者田中宇さんの「中国と対立するなら露朝韓と組め」というタイトルのファイルが添付されていたという。差出人の「izurusugawara89@gmail.com」は筆者のものではないので、またもや悪質ななりすましメールだと判断し、すぐにまたウェブサイト及びメルマガ読者に注意を促した。この時は、添付ファイルにウィルスが付いているのは間違いないと考え、わざわざ専門家への解析は依頼せずに削除した。

取材依頼を装う新しい手口の標的型攻撃メール

この２回のメールは私に直接送られてきたのではなく、私になりすまして誰か別の方々にウィルス付きメールを送りつけるというものだったが、３度目、５月に送られてきたものは取材依頼を装って私に直接送付するという新しい手口の攻撃だった。

という内容のもので添付ファイルも付いていた。ちなみにこのようなメールでの取材依頼はよくあることなので、思わず添付ファイルを開きそうになってしまったが、差出人の名前が「杉井明仁」となっていながらメールアドレスが（matsuitakafumi@mail.com）と別人の名前になっているのはいかにも不自然であり、調べてみると電話番号も朝日新聞のものではない。メールアドレスの（mail.com）も不自然なので、「これは怪しい」と気づき、再びサイバーディフェンス研究所の名和氏に分析をお願いした。

名和氏が簡単に添付ファイルを解析したところ、「LNK.Exploit.Gen」と言われる悪意のある外部サーバーにアクセスして、マルウェアをダウンロードするタイプのマルウェアだったという。名和氏によれば、「これは少し特殊なやり方であり、接続状況を観察すると、中国の福建省あたりに感染したＰＣの内部ファイルを転送する仕組みが確認できた」という。

このマルウェアも、現在日本国内で流通しているウィルス対策ソフトでは検知することが難しいタイプのものだという。外部サーバーにアクセスしてからウィルスをダウンロードして悪意のある挙動が発生するため、「時差攻撃」という名称もついているとのことだった。

このように今回の攻撃はいかにも不自然な点が見られたため不審だと気づいたが、次回はさらに巧妙なメールが送られてくるだろうと警戒している。私が直接体験しただけでも、攻撃は毎回巧妙さを増しており、さらに注意をする必要性を痛感している。不用意に添付ファイルを開かないこと、そして少しでも変だと感じたら送信者に確認することを面倒でも習慣づけることを読者の皆様にもお伝えしたい。

ちなみに、最新の標的型攻撃メールの傾向などは独立行政法人情報処理推進機構（IPA）のウェブサイトで「テクニカルウオッチ」という形式で公表されているので、興味のある方はそちらも参考にしていただきたい。

http://www.ipa.go.jp/about/technicalwatch/20121030.html

また同機構では不審なメールを受け取った際の相談窓口「情報セキュリティ安心相談窓口」も用意しているということなので、何か不審なメールを受け取った際の対処法などについては、相談してみることをお薦めしたい。

http://www.ipa.go.jp/security/anshin/index.html

いずれにしても、脅威の実態を知り、普段から意識を高めておくことが、もっとも重要な防止策だと考えているので、これからも新しい情報があれば皆様にお伝えしていきたい。