年金機構事件で発覚--感染に気付かれず潜伏する「Emdivi」の恐ろしさ - (page 2)

山田竜司 (編集部)

2015-06-17 07:00

 Emvidiとはどんなマルウェアなのか。Emvidiは対象者に対し、業種を問わず興味がありそうなメールで送られてくる。これまでのメールとは違い自然な日本語であり、ZIPかLZH形式の圧縮ファイルが添付されている。


Emdiviが添付された標的型メール攻撃

 エンドユーザーが圧縮ファイルを解凍すると、WordやExcel、PDFなどのアイコンに偽装した、興味をひく内容の“おとりファイル”と遠隔操作ツール「mimikatz」が忍び込ませてある。おとりファイルを開くとmimikatzが起動し、ブラウザに記録されたユーザー名とパスワードを読み取ったのち、自動で消去されるという。


アイコンを偽装

 おとりファイルの中身は巧妙だ。「講演会開催のご案内」「議事録」「セミナーへの参加申込書」など多くの被害企業にとって関係すると思われる内容が記載されているという。

 マルウェアを解析したマクニカネットワークスは、Emdiviが作成されたのは月曜から金曜のビジネスタイムがほとんどであり、個人ではなく、組織的に作られたものであると指摘した。マルウェアを操るコマンド&コントロール(C&C)サーバは、ドメインに「.jp」がつく日本企業のウェブサイトを踏み台にしている。


おとりファイルの例

 標的型攻撃の増加とともに情報漏えいの割合が増加しており、被害の25%を占めるという。年々企業が自らマルウェアの感染を発見するケースは増えているものの、Emvidiの場合、JPCERTや警察など外部からの指摘で気付くケースが多いとした。

 標的型攻撃の狙いは、攻撃対象の組織に気付かれずに、できるだけ長く組織内にとどまることにあるという。気付かれずに潜伏することで、日常的に蓄積されるさまざまな情報を継続的に窃取できるためだ。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]