年金機構事件で発覚--感染に気付かれず潜伏する「Emdivi」の恐ろしさ - (page 2)

山田竜司 (編集部)

2015-06-17 07:00

 Emvidiとはどんなマルウェアなのか。Emvidiは対象者に対し、業種を問わず興味がありそうなメールで送られてくる。これまでのメールとは違い自然な日本語であり、ZIPかLZH形式の圧縮ファイルが添付されている。


Emdiviが添付された標的型メール攻撃

 エンドユーザーが圧縮ファイルを解凍すると、WordやExcel、PDFなどのアイコンに偽装した、興味をひく内容の“おとりファイル”と遠隔操作ツール「mimikatz」が忍び込ませてある。おとりファイルを開くとmimikatzが起動し、ブラウザに記録されたユーザー名とパスワードを読み取ったのち、自動で消去されるという。


アイコンを偽装

 おとりファイルの中身は巧妙だ。「講演会開催のご案内」「議事録」「セミナーへの参加申込書」など多くの被害企業にとって関係すると思われる内容が記載されているという。

 マルウェアを解析したマクニカネットワークスは、Emdiviが作成されたのは月曜から金曜のビジネスタイムがほとんどであり、個人ではなく、組織的に作られたものであると指摘した。マルウェアを操るコマンド&コントロール(C&C)サーバは、ドメインに「.jp」がつく日本企業のウェブサイトを踏み台にしている。


おとりファイルの例

 標的型攻撃の増加とともに情報漏えいの割合が増加しており、被害の25%を占めるという。年々企業が自らマルウェアの感染を発見するケースは増えているものの、Emvidiの場合、JPCERTや警察など外部からの指摘で気付くケースが多いとした。

 標的型攻撃の狙いは、攻撃対象の組織に気付かれずに、できるだけ長く組織内にとどまることにあるという。気付かれずに潜伏することで、日常的に蓄積されるさまざまな情報を継続的に窃取できるためだ。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    【マンガ解説】まだ間に合う、失敗しない「電子帳簿保存法」「インボイス制度」への対応方法

  2. セキュリティ

    企業のDX推進を支えるセキュリティ・ゼロトラスト移行への現実解「ゼロトラスト・エッジ」戦略とは

  3. 経営

    2023年データとテクノロジーはどう変わるか 分析プラットフォームベンダーが明かす予測と企業戦略

  4. セキュリティ

    リモートワークで浮き彫りとなった「従来型VPN」、課題解決とゼロトラスト移行を実現する最適解

  5. セキュリティ

    第2世代EDRはココが違う 「自動化」でエンドポイントセキュリティの運用負荷・コストを削減

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]