メインメニューをとばして、このページの本文エリアへ

遠隔操作ウイルスに時差設定ミスの跡 春節の作成見つからず

時差1時間を見落としたと思われるデータ。左の列は日本時間、右の列は攻撃者の実行したコマンドを示す=マクニカネットワークス提供
おとりファイルは中国語フォント、簡体字が使われていた=同
ドロッパーに残された中国語の痕跡=同
ドロッパーによるウイルス感染の仕組み。メールに添付されたファイルを解凍する(開く)と、「医療費通知のお知らせ」などの文書ファイルに偽装した実行ファイルが現れる。これが「ドロッパー」と呼ばれるもので、開くと興味を引きそうな内容の無害な「おとりファイル」が出現するとともに、ひそかにRAT(遠隔操作ツール)のエムディヴィがパソコンにインストールされてしまう=同

 遠隔操作ウイルス「Emdivi(エムディヴィ)」を使った日本年金機構などからの情報流出問題で、ITセキュリティー会社のマクニカネットワークス(横浜市港北区)は、攻撃時刻の指定を短時間でやり直した痕跡があることを明らかにした。攻撃指令を出している場所と日本との時差1時間を考慮し忘れたとものと推定される。同社はこの時差ミスのほか、多くの痕跡から標的型攻撃の発信元が中国である可能性が高いと見ている。

時差1時間を修正 すぐに再実行

 同社がエムディヴィで乗っ取られた日本国内の攻撃指令サーバーを解析したところ、日本と中国との時差1時間の存在を忘れたと推測されるデータが残っていた。攻撃者は、プログラムを実行する時間を決める指令(コマンド)を出して攻撃する。しかし、今から約1分後で日本時間の16時31分に指定したつもりだったが、自国で自分の腕時計でも見たのか約1分後の中国の時刻である15時31分を一度指定。その後、すぐにミスに気づいたのか指定時刻を訂正して同コマンドを再実行していた。

Simsunフォント 「組」と「営」は簡体字

 また、同社の分析では、メールに添付されていたファイル名「医療費通知のお知らせ」を開いて出現するおとりファイルには、中国語簡体字フォントの「Simsun」が使われていたことが分かっている。文面の「健康保険組合運営事務局です」の「組」と「営」は中国語の簡体字だった。ドロッパー(エムディヴィに感染させるための実行ファイル)にも中国語の痕跡が複数残されていた。

勤務時間に攻撃

 さらにエムディヴィの作成時刻と、指令実行時刻を中国時間で同社がグラフ化すると、活動時間はほぼ平日の午前8時から午後6時と、オフィス稼働の時間帯としてしっくりしていた。また、中国で多くの人が休暇を取る「春節」(旧正月)の期間に作られたエムディヴィは見つかっていなかった。【高橋望】

毎日新聞のアカウント

話題の記事

アクセスランキング

毎時01分更新

  1. キリン 「氷結」発売中止 原料果汁に問題
  2. 新潟・泉田知事 4選への立候補とりやめ
  3. 里親補助金 厚労省見送り 「調査研究」体制に疑問も
  4. 五輪陸上 日本側バトンが「本物」 競売出品で騒動に
  5. 台風10号 岩手・大船渡付近に上陸

編集部のオススメ記事

のマークについて

毎日新聞社は、東京2020大会のオフィシャルパートナーです

[PR]