見えてきた! 海外から国内医療機関を狙うサイバー攻撃者集団の「横顔」

[2017/05/08 11:05]小池 晃臣 ブックマーク ブックマーク

海外で組織的に作成!? マルウェアに残る「痕跡」

ドロッパーの中身を解析ツールで見ていくと、中国語の簡体字の断片が残されていたり、中国語のWindows環境でドロッパーを作成したことがうかがえる痕跡が残っていたりするという。

「これらの情報から、おぼろげにではありますが、攻撃者の素性が見えてくると言えます」(政本氏)

一般的には、ウイルス対策ソフトを入れておけばマルウェアのリスクは払拭できると思われている。だが、そうした考え方は危険だ。例えば、日本年金機構を狙ったEmdiviの中身を解析すると、世界中のセキュリティベンダーの名前が列挙されていたという。政本氏によると、そうした記述は、ベンダーによるマルウェアへの対策状況をマルウェアの作り手側が察知しているという事実を、公的なメッセージとして挿入しているものだという。

「サイバー攻撃対策が遅れていると言われる医療業界でも、ウイルス対策ソフトは普通に使われているでしょう。サイバー攻撃者は、そのことを承知の上で攻撃してくるのです」と、政本氏はさらなる注意を促した。

また、サイバー攻撃者はマルウェアをきちんとバージョン管理しており、日本年金機構を攻撃した際に使われたEmdiviでは、その後ほぼ半年ごとにバージョンアップが行われ、さまざまな機能が追加されている。そして、日本年金機構を狙ったサイバー攻撃者のみを検証した場合でも、医療機関を狙っていると思われる痕跡が残されているという。例えば、2015年5月のバージョンには、「pathology(病理学)」という記述が含まれていたのである。

「これは、攻撃者がどこを狙うかのメモです。一緒に『0528』という数字が記されていましたが、実際に2015年5月28日に病理学に関わる団体に攻撃があったことが判明しています」(政本氏)

さらに、全160個のEmdiviの検体が「いつ、何時に作られたのか」を分析したところ、ほぼ北京時間での業務時間内に集約されており、さらにほとんどは月曜日から金曜日の間だったのだという。つまり、個人ではなく、きちんとした組織の管理下でマルウェアの開発が行われていることが状況証拠から強く推測できるのだ。

では、ネットにメールアドレスを公開しなければ、標的型攻撃メールは送られてこないのかと言うと、決してそうではない。今やeコマースサイトへのハッキングによって漏れたメールアドレスがかなり出回っているのをはじめ、合法的な手段であってもインターネットからメールアドレスを手に入れる方法はいくつも存在しているからだ。

「『自分のメールアドレスは公開してないから狙われないだろう』と安心することなど、まったくできません。そうした認識の下に、有効な対策方法を考えるようにしてほしい」と政本氏は強調し、セッションを締めくくった。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

もっと知りたい!こちらもオススメ

医療の効率化にITを生かせ! カギは「近すぎる距離」の再考

医療の効率化にITを生かせ! カギは「近すぎる距離」の再考

4月19日~21日に都内にて開催された「ヘルスケアIT 2017」のセミナーでは、多摩大学 大学院 教授 真野俊樹氏が登壇。「医療ICTの状況:海外事例を踏まえて ~『患者』『アクセス改善』という視点で考える~」と題した講演を行った。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします
注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
[解説動画] 個人の業務効率化術 - 短時間集中はこうして作る
ミッションステートメント
教えてカナコさん! これならわかるAI入門
知りたい! カナコさん 皆で話そうAIのコト
対話システムをつくろう! Python超入門
Kubernetes入門
AWSで作るクラウドネイティブアプリケーションの基本
PowerShell Core入門
徹底研究! ハイブリッドクラウド
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

会員登録(無料)

ページの先頭に戻る