セキュリティー会社のラックは６月１６日、年金機構の加入者情報流出問題を受け、都内で報道関係者向けに遠隔操作ウイルスに関する説明会を開催した。

　今回の事件は、特定の組織や個人を狙って行われる「標的型攻撃」と呼ばれるもの。対象者が反応しやすい内容のメールを送り、プログラムを実行させて遠隔操作ウイルスに感染させる。そして、攻撃者がセキュリティーの甘い企業のサーバーなどを乗っ取って作った指令サーバーから指示を出し、情報を抜き取るというのが代表的な手口だ。

　年金機構の事件で使われたとみられるのが「Ｅｍｄｉｖｉ（エンディビ）」と呼ばれる遠隔操作ウイルス。ラックによれば、同ウイルスに感染した企業からの以来が４月に入ってから急増。攻撃された業種や業態、規模に傾向はなく、日本の組織が広く狙われている。ただ、感染被害は昨年末より徐々に増え始めており、最近の報道で不安を感じた企業からの調査依頼で感染した判明したケースもあるという。通常のウイルス対策ソフトでの検知が難しいため、侵入されていることに気づいていない企業が多数にのぼっている恐れがある。

　エンディビとはどんなウイルスか。マクニカネットワークス・セキュリティ研究センターの政本憲蔵センター長によると、攻撃者はウイルスが添付されたメールをフリーメールから送信。対象者の興味を惹く文章で、日本語に不自然さはないという。インターネット上で公開されているアドレスなどに送られているようだ。

　添付ファイルは圧縮されており、解凍すると実行ファイルが出てくる。アイコンがワードファイルやＰＤＦファイルに偽装されているため、一見安全に見えるが、これはおとりファイル。拡張子は「ＥＸＥ」となっており、実行すると侵入を許してしまう。業務に関係ありそうなドキュメントファイルが実際に表示される一方で、リモートアクセスを可能にするためのツールも裏で立ち上がる。攻撃者はエンディビでネットワークに侵入したあと、ユーザー名やパスワードを盗み出すといった攻撃を行う。

　６５のエンディビ検体を分析した政本氏によれば、ウイルスが作られたのは日本と時差が１時間ある国の可能性がある。作成時間は一般的なサラリーマンの働く時間帯で、曜日も月～金に集中していた。そのため、個人的に動くハッカーではなく、組織的な動きが疑われる。また、指令サーバーが日本国内にあるのも特徴で、日本企業の正規サーバーが悪用されているものとみられる。

　ラックの西本逸郎ＣＴＯ（＝写真）は、こうしたサイバー攻撃への企業側の対策について「風邪は誰でもひくもの。『水際作戦』による防御は破られることが前提となる。破られたことの認識と、破られた場合に確実な封じ込め策を行う必要がある。そのためには事前の想定と訓練が重要だ」と指摘する。ファイルの暗号化やダミー混入などの対策も効果がある。

　今回はファイルを実行したことが感染の引き金となっているため、ウィンドウズの設定を「拡張子を表示する」に変更し、表示されたアイコンだけを見てクリックすることのないよう組織内で意思統一する、といった対処も役に立ちそうだ。