2015年5月末、世間を騒がせた日本年金機構での情報漏洩事件。いまだにその余波は拡大しているのだが、次第にそのサイバー攻撃の方法が解明されてきた。世間的には、年金機構側のセキュリティの甘さが非難されているが、セキュリティ専門家としての感想は、チョイと違う。
ここでのサイバー攻撃の手法は、「標的型攻撃」と呼ばれているもので、最近は世界的にかなり増えている攻撃方法だ。大きな組織、つまり数万人規模の従業員がいる企業や官庁などの組織に対して、標的型攻撃を仕掛けられると、まず防ぎようがない。数万人もの従業員全員に、徹底したセキュリティ教育なんぞできないし、たとえ出来たとしても、日常的に届くメールを偽装したメールなら、誰かは必ず読むはずだ。
ウイルス対策ソフトがあれば問題ないと思うかもしれないが、大半のウイルス対策ソフトは、パターンマッチングと言って、既知のウイルスと完全に一致したものだけをウイルスと判定する。したがって、たとえ1bitでも異なればウイルスとは判定しないのだ。このためウイルス作成者は、特定企業に狙いを定めた場合には、同じ機能を持つウイルスをほんのわずかだけ変更させ、そのウイルス対策ソフトをすり抜けようとする。これが標的型攻撃と言われる方法だ。
このため、一般に市販されているウイルス対策ソフトは、秒単位で新種が出現してくるウイルスの、せいぜい半分も検出できれば良い方なのだ。だから現実的には、ウイルスが企業内に侵入するのは当然として、セキュリティ対策をするしかない。
現実問題として、大半のウイルスの目的は企業情報や個人情報の取得なので、まともな企業なら社内から外部への全パケットをチェックしている。この時に不正な通信を発見した場合には、即座に通信を遮断して、不正通信していたPCやサーバを探し出してウイルスを駆除することになる。
ま~これが、言わば教科書的な答えなのだが、実際には本格的なサイバー攻撃だと、この不正通信まで偽装してくるので、発見することは困難を極めるのだ。
で、今回の年金機構へのサイバー攻撃なのだが、とんでもない事象が判明した。それはこの多数捕獲したウイルス(Emdiviウイルスと言う)を詳細に分析した結果、ウイルスのコードに含まれていたタイムスタンプが、なんと月曜日から金曜日の9時~12時、13時~17時に集中していたのだ。つまり、このウイルス作成者は平日の定時だけ働くサラリーマンだったのだ!
しかも、おとりのドキュメントファイルに用いられていた漢字は、一見日本語に見えるのだが、実は中国語フォントが用いられていた。したがって結論としては、中国に存在するサイバー攻撃を職務とする、何らかの組織(別に政府組織だと言っているわけではない)が今回の犯人だということだ。
ま~中国の何らかの組織が、世界中でサイバー攻撃を仕掛けていること自体は、良く知られていることなので、今更驚くようなことではない。中国だけでなく、北朝鮮やロシアも年中やっているし、アメリカ政府は対テロ用と称して、企業や個人のPCやスマホにウイルスを仕込んで監視していることは周知の事実だ。
しかし何だろね。サイバー攻撃用のウイルス作成をするような輩は、深夜に部屋にこもって、コソコソとコードを書いているイメージを僕は持っていた。それが平日の定時内でしか仕事をしない、律儀なサラリーマンが作っているとはね・・・
