メインメニューをとばして、このページの本文エリアへ

ウイルス開発は勤務時間内に? 昼食時は攻撃せず

ウイルス作成時刻。縦軸の「検体個数」は、計84個の「エムディヴィ」が作成された個数。横軸の「時刻」は、攻撃の発信地として疑われている中国の時間。協定世界時(UTC)に8時間足したもの=同社提供
ウイルス作成曜日。土曜日の作成はゼロだった=同社提供
ウイルス活動時刻。縦軸の「コマンド実行回数」は、エムディヴィに感染した被害パソコンに対してパスワードを盗むなどの攻撃指令の回数を指す=同社提供
メールの添付ファイルを解凍すると、文書ファイルに偽装した実行ファイル「ドロッパー」が現れる。これを開くと「おとりファイル」が出現するとともに、ひそかにエムディヴィに感染する=同社提供

開発者は慎重でも攻撃部隊は雑 ウイルスの実態明らかに

 日本年金機構への攻撃で使われたとされるウイルス「Emdivi(エムディヴィ)」について、ウイルスの作成と、そのウイルスで攻撃を仕掛けたのは別組織の可能性が高いことが、ITセキュリティー会社のマクニカネットワークス(横浜市港北区)の解析でわかった。ウイルスは開発者によって慎重につくられていたが、実際の攻撃活動は緻密さに欠けて雑だった。

 日本国内の企業や組織を標的に暗躍している遠隔操作ウイルス「エムディヴィ」を調べている同社が24日までに入手したウイルス84個を分析した。同社セキュリティー研究センターの政本憲蔵センター長によると、使用された「エムディヴィ」が作成された時刻について、ウイルスの存在を分かりにくくする「おとりファイル」に中国語の簡体字フォントが使われていたことなどから、攻撃の発信地として疑われている中国時間(日本時間からマイナス1時間)でグラフ化してみた。

明確な目的をもつ組織が開発

 すると、作成された時間帯は午前8時から午後9時までで、午前9時から正午(計47個)がピークだった。昼休みとみられる時間帯は急激に減っている。曜日別では、土日に作られたのは計3個と少なかった。政本センター長は「一般的な公務員やサラリーマンの労働時間にほぼ収まっており、個人ではなく明確な目的をもった組織によって開発されたものと推測される」と分析する。ウイルス本体には中国語の痕跡は全く見られず、身元が推定されないよう慎重に作られているという。

 一方、攻撃者が乗っ取った、日本国内の指令サーバー上に残した作業ログを分析した。エムディヴィが活動したことを示すコマンド(指令)実行回数を時間帯で見ると、ウイルス作成時間よりさらに“公務員的”な勤務体系が浮き彫りとなる。ピークは午後3時から午後5時で、午後6時以降の活動はほとんどなかった。

 さらに、ウイルス本体のエムディヴィは中国語の痕跡のない慎重なつくりだったのに、実際の攻撃時に使われたドロッパー(エムディヴィに感染させるための実行ファイル)やおとりファイル、侵入後に使われたツールには中国語の痕跡が残されていた。エムディヴィをつくった部署とは違う部署で作られたとみられ、慎重さに欠ける行動が見られた。

 政本氏は、「金銭目的や政治的な抗議とは違う、バックに大きな組織のいる『ターゲット型攻撃』に本腰を入れて対処する時期に来ている」と話している。【高橋望】

毎日新聞のアカウント

話題の記事

アクセスランキング

毎時01分更新

  1. タクシー突入 病院に悲鳴響く…「お母さん」泣きすがる子
  2. JR車両解体 「ごめんね」と謝りながら切断 女性初、小田商会・金子さん /福岡
  3. 事故 病院にタクシー突入…3人死亡、7人負傷 福岡
  4. 電柱ワイヤ激突 バイク男性、上半身切断 山陽電鉄線路に
  5. 性暴力の現場で 兄から虐待 親の反対で被害訴えず 群馬

編集部のオススメ記事

のマークについて

毎日新聞社は、東京2020大会のオフィシャルパートナーです

[PR]