年金情報漏えい事件は振込目当ての年金詐欺ではなく組織的なグループによる犯行の可能性が出てきました。まず送られているWord文書は実際に内部で使われていた本物のコピーで既にその担当者のメールには入り込んでいたようです。今回の発覚はいろいろな企業・政府機関に一斉に仕掛けていた組織によるウイルスで日本国内の情報収集を目当てにしたものだったのかも知れません。その場合には今回漏れた情報自体は国家の機密ではなく年金受給者の名前・住所・年金番号位で大したものではありません。さらにおとりファイルに使われていた「健康保険組合運営事務局」の組と営の文字は中国語の簡体字であり、犯行時間が就業時間と重なる点は不可解です。日本の情報は既にタダ漏れしていると考えた方が良さそうです。個人でも重要なやり取りはメールで簡単に済ませようとはせず対面で行った方が良いかもしれません。日本を狙い撃ちにする特定犯罪組織があるとすれば安倍首相が強引に推し進める安保関連法案も成立しやすくなるのかもしれません。
以下抜粋コピー ●業務でやり取りするような内容の添付ファイルを用いている
おとりファイルを詳しく見てみよう。医療費通知を装ったWordの文書で、Emdiviでよく使われているものだ(日本年金機構へのメールでも医療費通知を装ったものがあった)。特徴的なのは、フォントが日本語のものではないこと。政本氏は「某国で使われるフォント」と述べたが、中国語の簡体字フォントだとみられる。
たとえば、1行目の「健康保険組合運営事務局です。」を拡大すると、「組」や「営」の文字が日本語では使われないフォントになっているのが分かる。
また、このおとりファイルでは、文章の末尾が「明らかにして、」で終わっている。明らかに不自然な日本語であり、犯人が日本語をコピペして作った時にミスしたものと思われる。攻撃者自身が作ったファイルと考えていいだろう。
それに対して、こちらは「講演会開催のご案内」と題したPDFファイルが入っている。これは、インターネット上に実際に存在するファイルをPDF化して、おとりファイルとして利用したものだと確認できたという。これであれば日本語は自然であり、よりだまされやすいといえるだろう。
これ以外にも、おとりファイルはいくつもある。「収支計算書」「社員向けの保険金配当の案内」「セミナーへの参加申込書」「GW休日と緊急連絡先の一覧表」など、企業活動に関係する内容となっている。これでは、開いてしまう人が出てもおかしくない。
このように、Emdiviの標的型攻撃メールはとても巧妙だ。受信した企業や官公庁の職員に関連する内容で、思わず開いてしまう心理的な攻撃となっている。メールアドレスやフォント、文章の一部が不自然ではあるものの、いずれも見逃しやすい要素だ。もし犯人がミスに気づけば、今後は自然なものに直されるだろう。
●Emdiviは組織によって作られ、日本企業のサーバーを乗っ取って指令を出す
マクニカネットワークスではEmdiviの検体を65個捕獲することに成功し、そこからさまざまなことが分かったという。マクニカの政本氏によるまとめを続けて紹介しよう。
Emdiviの作成時刻をまとめたのが下のグラフだ。下の時刻は、おとりファイルにあったフォントが使われている国のゾーン時刻を参考として入れている(筆者注:中国語の簡体字フォントだったので、この場合は中国での時刻となる)。
すると驚くべきことに、一般的な社会人の労働時間にピッタリ当てはまった。9時から12時までの午前中に多くウイルスが作成されており、13時の昼どき(昼休みか?)はいくぶん少なく見える。曜日で見ると、土曜日はゼロ、日曜日は2つだけと、土日はとても少なかった。ほとんどのウイルスが月曜日から金曜日の間に作られていたのである。
この点から推測できることは、Emdiviは個人で作られたものではなく、明確な目的にしたがって組織によって作られたものであるということだ。
アクセス
トータル
ランキング
