セキュリティインシデントが発生すると、複数の企業や団体が一斉に注意喚起を出すことがあります。例えば2017年1月中旬、多くの大学が、科学研究費(科研費)を交付する日本学術振興会を装ったウイルス付きメール▼への注意喚起をしました。日本学術振興会が事態を把握し、各大学に通知したからだと考えられます。
2017年3月上旬にも同様のことがありました。多くの企業や団体の健康保険組合(健保)が、Webサイトで不審なメールへの注意喚起をしました(図1)。3月下旬以降も注意を呼び掛ける健保があり、その数は数十に上りました。ところが、これほど大規模に注意喚起されたにもかかわらず、メールに添付されたウイルスの検体情報や被害に関する情報が、専門機関や情報共有のサイトなどで一切見つかりません。不思議に思い、調べてみました。
攻撃とは思えないメール
いくつかの健保が公表した情報から、今回の注意喚起のきっかけは、健康保険組合連合会▼(健保連)からの通知だとわかりました。自分たちをかたる不審なメールが出回っていることを知った健保連が、各健保に知らせてきたのです。前述の日本学術振興会のケースとよく似ています。
一部の注意喚起には、不審なメールの差出人名や件名、本文、添付ファイルのサイズが載っていました(図2)。これらを見て、筆者は強い違和感を覚えました。三つの疑問が浮かんだからです。
一つめは、差出人名です。健保連の正式名称は「健康保険組合連合会」です。しかし不審メールの差出人名は「健康保険組合連合協会」になっています。あまりにも不自然です。
二つめは、件名や本文です。件名には「医療費通知のお知らせ」、本文には「保険を利用して診察や診療を受けられた方に、医療費のご負担等をお知らせしています」とあります。これらは、2014年から2015年に出回った、健保を装ってウイルス「Emdivi▼」に感染させようとする標的型攻撃メールと全く同じです。
三つめは、添付ファイルのサイズです。ウイルスが含まれていると思われる添付ファイルのサイズが9Kバイトしかありません。通常、標的型攻撃メールに添付されたEmdiviは、200Kバイトくらいです。9Kバイトはあまりに小さく、指定したURLにアクセスするくらいのことしかできないと思います。
2017年4月号本連載で取り上げた。
各健保を会員として、相互で運営をサポートしたり、調査を行ったりする団体。
日本年金機構の情報漏洩事件にも使われた。