文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    JTB流出ウイルスは中国製が濃厚

    おすすめ
    おすすめ
    9291
    SECURITY WARNING: Please treat the URL above as you would your password and do not share it with anyone. See the Facebook Help Center for more information.
    SECURITY WARNING: Please treat the URL above as you would your password and do not share it with anyone. See the Facebook Help Center for more information.
    0
     JTBからの個人情報793万件流出で使われたウイルスは、中国語表記であり、中国からの攻撃であることが濃厚との分析が出ている。巧妙な手口からウイルス付きメールの開封を防ぐことは難しく、ウイルスに感染することを前提とした対策が欠かせない。(ITジャーナリスト・三上洋)

    セキュリティー会社がデモンストレーション

    • ファイア・アイのシニアアナリスト・本城信輔氏。6月17日にJTB流出と同じウイルスについてのセミナーを行った
      ファイア・アイのシニアアナリスト・本城信輔氏。6月17日にJTB流出と同じウイルスについてのセミナーを行った
     企業向けセキュリティー大手のファイア・アイが、JTB流出で使われたウイルスについての記者向けセミナーを開いた(JTB流出については以前の記事参照:JTB個人情報793万件流出か?…標的型攻撃の巧妙な手口:サイバー護身術)。ファイア・アイのシニアアナリスト・本城信輔氏が、今回のウイルスが過去にどんな形で使われたか解説するものだ。
     先にウイルス(マルウェア)の名称について整理しておきたい。JTB広報の発表は「PlugX(プラグエックス)」とされ、ファイア・アイも同じ名前を使っている。しかしながらこの名前はウイルスとは関係のない一般製品で使われており、登録商標にもなっている。そこで筆者の記事上では、PlugXではなく「Korplug(コープラグ)」という名称で呼ぶことにする。
    • JTB流出と同じ遠隔操作ウイルスのツールキット画面。中国語になっている
      JTB流出と同じ遠隔操作ウイルスのツールキット画面。中国語になっている
     まず本城氏は、JTB流出で使われた「Korplug」のデモンストレーションを行った。2~3年前にセキュリティー研究者が入手したバージョンの「Korplug」のツールキットを実際に動かし、感染させてみるデモンストレーションだ。ツールキットとは、ウイルス作成ツールのことで、作ったウイルスで感染先のパソコンの遠隔操作も可能になっている。

    「中国語版Windowsでないと文字化け」

     デモで使ったパソコンは中国語版のWindowsだ。本城氏は「このウイルスは中国語版Windowsでないと文字化けをする。メニューはすべて中国語であり、中国語を理解できる人向けに作られている」とした。
     ウイルスの作成はとても簡単だ。指令用サーバーIPアドレス(ネット上の住所にあたるもの)などを入力し、作成ボタンを押すだけ。自分でプログラミングする必要はなく、ツールキットが専用のウイルスをワンタッチで作成してくれる。
     デモでは、このウイルスをパソコンに感染させた。するとパソコンのすべての情報が表示される。どんなソフトが動いているか、設定がどうなっているか丸ごと見える状態だ。
     そしてファイルの送受信も可能だ。ドラッグ&ドロップするだけで指定したファイルを送り込み、プログラムも実行できてしまう。つまり後から自由に、様々なウイルスを送り込むことができるわけだ。このウイルスが入り込むと、遠隔操作でパソコンが自由自在にコントロールされてしまう。
    • 設定項目さえ入力すればワンタッチでウイルスを作成できる。感染させたパソコンとのファイル送受信は、ドラッグ&ドロップで簡単に操作可能
      設定項目さえ入力すればワンタッチでウイルスを作成できる。感染させたパソコンとのファイル送受信は、ドラッグ&ドロップで簡単に操作可能
     このツールキットの特徴は、とてもわかりやすい操作体系であること。メニューがツリー形式で並び、設定項目も整理され、誰でも使えるように設計されている。まるで市販製品のようなデザインだ。これについて本城氏は「わかりやすい操作体系にする理由は、分業化にあると推測している。大規模な組織では、ウイルス作成や遠隔操作を分業で行うため、誰でもわかるようなスマートな画面にしているのではないか」と分析した。

     まず本城氏は、JTB流出で使われた「Korplug」のデモンストレーションを行った。2~3年前にセキュリティー研究者が入手したバージョンの「Korplug」のツールキットを実際に動かし、感染させてみるデモンストレーションだ。ツールキットとは、ウイルス作成ツールのことで、作ったウイルスで感染先のパソコンの遠隔操作も可能になっている。

    「中国語版Windowsでないと文字化け」

     デモで使ったパソコンは中国語版のWindowsだ。本城氏は「このウイルスは中国語版Windowsでないと文字化けをする。メニューはすべて中国語であり、中国語を理解できる人向けに作られている」とした。
     ウイルスの作成はとても簡単だ。指令用サーバーIPアドレス(ネット上の住所にあたるもの)などを入力し、作成ボタンを押すだけ。自分でプログラミングする必要はなく、ツールキットが専用のウイルスをワンタッチで作成してくれる。
     デモでは、このウイルスをパソコンに感染させた。するとパソコンのすべての情報が表示される。どんなソフトが動いているか、設定がどうなっているか丸ごと見える状態だ。
     そしてファイルの送受信も可能だ。ドラッグ&ドロップするだけで指定したファイルを送り込み、プログラムも実行できてしまう。つまり後から自由に、様々なウイルスを送り込むことができるわけだ。このウイルスが入り込むと、遠隔操作でパソコンが自由自在にコントロールされてしまう。
    • 設定項目さえ入力すればワンタッチでウイルスを作成できる。感染させたパソコンとのファイル送受信は、ドラッグ&ドロップで簡単に操作可能
      設定項目さえ入力すればワンタッチでウイルスを作成できる。感染させたパソコンとのファイル送受信は、ドラッグ&ドロップで簡単に操作可能
     このツールキットの特徴は、とてもわかりやすい操作体系であること。メニューがツリー形式で並び、設定項目も整理され、誰でも使えるように設計されている。まるで市販製品のようなデザインだ。これについて本城氏は「わかりやすい操作体系にする理由は、分業化にあると推測している。大規模な組織では、ウイルス作成や遠隔操作を分業で行うため、誰でもわかるようなスマートな画面にしているのではないか」と分析した。

     まず本城氏は、JTB流出で使われた「Korplug」のデモンストレーションを行った。2~3年前にセキュリティー研究者が入手したバージョンの「Korplug」のツールキットを実際に動かし、感染させてみるデモンストレーションだ。ツールキットとは、ウイルス作成ツールのことで、作ったウイルスで感染先のパソコンの遠隔操作も可能になっている。

    「中国語版Windowsでないと文字化け」

     デモで使ったパソコンは中国語版のWindowsだ。本城氏は「このウイルスは中国語版Windowsでないと文字化けをする。メニューはすべて中国語であり、中国語を理解できる人向けに作られている」とした。
     ウイルスの作成はとても簡単だ。指令用サーバーIPアドレス(ネット上の住所にあたるもの)などを入力し、作成ボタンを押すだけ。自分でプログラミングする必要はなく、ツールキットが専用のウイルスをワンタッチで作成してくれる。
     デモでは、このウイルスをパソコンに感染させた。するとパソコンのすべての情報が表示される。どんなソフトが動いているか、設定がどうなっているか丸ごと見える状態だ。
     そしてファイルの送受信も可能だ。ドラッグ&ドロップするだけで指定したファイルを送り込み、プログラムも実行できてしまう。つまり後から自由に、様々なウイルスを送り込むことができるわけだ。このウイルスが入り込むと、遠隔操作でパソコンが自由自在にコントロールされてしまう。
    • 設定項目さえ入力すればワンタッチでウイルスを作成できる。感染させたパソコンとのファイル送受信は、ドラッグ&ドロップで簡単に操作可能
      設定項目さえ入力すればワンタッチでウイルスを作成できる。感染させたパソコンとのファイル送受信は、ドラッグ&ドロップで簡単に操作可能
     このツールキットの特徴は、とてもわかりやすい操作体系であること。メニューがツリー形式で並び、設定項目も整理され、誰でも使えるように設計されている。まるで市販製品のようなデザインだ。これについて本城氏は「わかりやすい操作体系にする理由は、分業化にあると推測している。大規模な組織では、ウイルス作成や遠隔操作を分業で行うため、誰でもわかるようなスマートな画面にしているのではないか」と分析した。

     デモで使ったパソコンは中国語版のWindowsだ。本城氏は「このウイルスは中国語版Windowsでないと文字化けをする。メニューはすべて中国語であり、中国語を理解できる人向けに作られている」とした。
     ウイルスの作成はとても簡単だ。指令用サーバーIPアドレス(ネット上の住所にあたるもの)などを入力し、作成ボタンを押すだけ。自分でプログラミングする必要はなく、ツールキットが専用のウイルスをワンタッチで作成してくれる。
     デモでは、このウイルスをパソコンに感染させた。するとパソコンのすべての情報が表示される。どんなソフトが動いているか、設定がどうなっているか丸ごと見える状態だ。
     そしてファイルの送受信も可能だ。ドラッグ&ドロップするだけで指定したファイルを送り込み、プログラムも実行できてしまう。つまり後から自由に、様々なウイルスを送り込むことができるわけだ。このウイルスが入り込むと、遠隔操作でパソコンが自由自在にコントロールされてしまう。
    • 設定項目さえ入力すればワンタッチでウイルスを作成できる。感染させたパソコンとのファイル送受信は、ドラッグ&ドロップで簡単に操作可能フォントや手口から浮上する犯人像は
      • JTB流出で使われたKorplug(写真上はPlugXとの表記)は、中国製の遠隔操作ウイルス。2012年頃から使われており、日本への攻撃例は減っている
        JTB流出で使われたKorplug(写真上はPlugXとの表記)は、中国製の遠隔操作ウイルス。2012年頃から使われており、日本への攻撃例は減っている
       本城氏はこの「Korplug」について、今までわかっているポイントを整理した。
       まず「Korplug」は最近減少傾向にあったという。「2014年はKorplugによる攻撃が多かったが、2015年は年金機構で使われたEmdivi(エムディヴィ)が圧倒的に多くなった。特に最近はKorplugは減ってきている。推測ではあるが、数が減っている方が対策が甘くなるため、そこを狙っているのかもしれない」と分析している。多くの攻撃事例があれば、セキュリティ会社による対策が厳重になるが、被害が少なければ対策をすり抜ける可能性があるということだ。
      • Korplugで使われたおとり文書。中国語のフォントが使われていた
        Korplugで使われたおとり文書。中国語のフォントが使われていた
       Korplugに感染させるための標的型攻撃メールでは、様々なおとり文書が使われている。犯人はウイルス感染させるために、普段の業務に似せたメールを作って企業の公開メールアドレスや社員のメールアドレスに送りつける。Korplugで使われたおとり文書は、ネット上で公開されているイベントの案内や企画書などが添付されていたほか、中国語フォントで作成されたファイルもあった。中国語の「simsun(シムスン)」フォントが使われており、中国語環境のパソコンで作られたファイルだとわかる。
       また本城氏は、今まで「Korplug」が使われた攻撃例を三つ紹介した。「日本のハイテク企業・製造業を狙った攻撃」「2015年7月に起きた日本のサイトへの水飲み場攻撃(関係者がよく見るサイトを改ざんしウイルス感染させる攻撃のこと)」「ハイテク、製造業、エネルギー、NGO、軍事産業などを狙う攻撃」の三つがあったが、いずれも中国からの攻撃だと分析している。
      • Korplugを使った今までの攻撃は「中国が関与したもの」がほとんど本城氏は述べている
        Korplugを使った今までの攻撃は「中国が関与したもの」がほとんど本城氏は述べている
       これについて本城氏は「ツールキットの言語、C2サーバー(ウイルスに命令を送るサーバーのこと)のIPアドレスなどから、Korplugの攻撃は中国から行われている可能性が高い。」と分析している。
       ちなみにJTB流出では、もう一つ「ELIRKS」というウイルスも発見されている。ファイア・アイでは「Jambox(ジャムボックス)」と呼んでいるウイルスで、犯人からの命令のやり取り(C2サーバー)にミニブログを使うものだ。本城氏は「Jamboxは海外では見つかったことがなく、日本だけで発見されているウイルス。日本を狙った攻撃だと言えるだろう」と述べた。
       JTB流出の犯人像について本城氏は「Korplugを使っているところから見て、中国からの攻撃の可能性が高いと考えている。中国からの攻撃グループは複数あることがわかっているが、どのグループなのかは判断できない。ただ個人情報を狙うという点から、日本年金機構を狙ったグループとの類似点が多いように思う」とした。

      ウイルス感染は防げない~「感染前提の対策」が必要に

       本城氏は「今までの標的型攻撃は企業の機密情報(企業秘密)を狙うものだった。しかし日本年金機構流出が起きた昨年から、企業が持っている顧客の個人情報を狙う攻撃が増えてきた。盗んだ個人情報を何に使うのかは不明だが、次のサイバー攻撃の足場として使うか、もしくは個人情報の転売などの金銭目的の可能性もある。いずれにしても今後は、個人情報を持っている企業が狙われることが増えそうだ」とまとめた。
       今回のJTB流出では、航空会社のメールを装った文面で、航空券のチケットが添付されるなど巧妙なものだった。これについて本城氏は「メール本文だけで判断するのは不可能。よく『怪しいメールは開かない』と言うが、標的型攻撃メールのほとんどは怪しくないものであり、開封してしまう可能性が高い」とした。
       企業では標的型攻撃メール対策を進めているが、完全にシャットアウトすることは難しいというわけだ。「年金機構の流出では、最終的にたった1通のメール開封によって情報流出が起きた。たった1通でも流出が起きるため、パーフェクトに守り切ることは難しい」と本城氏は述べている。
       そのため企業では、ウイルス感染が起きるという前提での対策が必要だという。具体的には「組織全体でウイルス感染した場合の手順を決めておく」「監視・検知・隔離など感染後の対応を強化」「感染の演習を行う」「ネットワークの分離(重要情報を保管するサーバーとメールを開く端末を分離)」という四つを企業が実施すべきだとした。
       このように標的型攻撃は避けるのが難しく、今後も企業や団体からの情報流出が起きるだろう。個人情報を扱う企業は、セキュリティー対策を強化するとともに、「ウイルス感染を前提とした準備」が必要になってくる。私たち一般ユーザーには対策のしようがない事態だけに、企業・組織の責任は重い。JTB流出の全貌を早く解明・公表し、今後の対策に生かしてほしいものだ。

      参考記事

      2016年06月24日 18時14分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティー、ネット活用、ケータイが専門のテクニカルライター。最先端のIT事情をわかりやすく解き明かす筆力には定評がある。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い
    .

    おすすめ情報

    PR
    関連記事・情報Powered by popIn

    【PR】

    ピックアップ
    科学・ITランキング
    Powered by popIn
    科学・IT 最新記事
    .
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP
    SNS話題記事ランキング
    682
    科学・IT
    (2016年6月14日 19:04)
    shares
    462
    科学・IT
    (2016年6月21日 7:17)
    shares
    165
    科学・IT
    (2016年6月25日 22:10)
    shares
    145
    科学・IT
    (2016年6月24日 23:00)
    shares
    Learn more: aol.com
    .
    サービス
    紹介エリア
    YOMIURI ONLINE | 読売新聞
    見出し、記事、写真の無断転載を禁じます Copyright (C) The Yomiuri Shimbun.
    0%
    10%
    20%
    30%
    40%
    50%
    60%
    70%
    80%
    90%
    100%