セキュリティインシデントが発生すると、複数の企業や団体が一斉に注意喚起を出すことがあります。例えば2017年1月中旬、多くの大学が、科学研究費(科研費)を交付する日本学術振興会を装ったウイルス付きメールへの注意喚起をしました。日本学術振興会が事態を把握し、各大学に通知したからだと考えられます。

 2017年3月上旬にも同様のことがありました。多くの企業や団体の健康保険組合(健保)が、Webサイトで不審なメールへの注意喚起をしました(図1)。3月下旬以降も注意を呼び掛ける健保があり、その数は数十に上りました。ところが、これほど大規模に注意喚起されたにもかかわらず、メールに添付されたウイルスの検体情報や被害に関する情報が、専門機関や情報共有のサイトなどで一切見つかりません。不思議に思い、調べてみました。

図1●健康保険組合連合会を装った不審なメールへの注意喚起が相次ぐ
図1●健康保険組合連合会を装った不審なメールへの注意喚起が相次ぐ
企業の健康保険組合が、2017年3月上旬、健康保険組合連合会(健保連)を装う不審メールに関する注意喚起をWebサイトに掲載。3月下旬以降も、注意喚起が続く。
[画像のクリックで拡大表示]

攻撃とは思えないメール

 いくつかの健保が公表した情報から、今回の注意喚起のきっかけは、健康保険組合連合会(健保連)からの通知だとわかりました。自分たちをかたる不審なメールが出回っていることを知った健保連が、各健保に知らせてきたのです。前述の日本学術振興会のケースとよく似ています。

 一部の注意喚起には、不審なメールの差出人名や件名、本文、添付ファイルのサイズが載っていました(図2)。これらを見て、筆者は強い違和感を覚えました。三つの疑問が浮かんだからです。

図2●標的型攻撃メールとは思えない三つの疑問
図2●標的型攻撃メールとは思えない三つの疑問
東京機器健康保険組合のWebサイトでは、不審なメールの内容を詳しく公表していた。それによると、差出人名が健保連をもじった架空の団体名だったり、以前出回った標的型攻撃メールと件名や本文が一致したりしていた。さらに、添付ファイルのサイズが9Kバイトと極めて小さかった。これらのことから、筆者は強い違和感を覚えた。
[画像のクリックで拡大表示]

 一つめは、差出人名です。健保連の正式名称は「健康保険組合連合会」です。しかし不審メールの差出人名は「健康保険組合連合協会」になっています。あまりにも不自然です。

 二つめは、件名や本文です。件名には「医療費通知のお知らせ」、本文には「保険を利用して診察や診療を受けられた方に、医療費のご負担等をお知らせしています」とあります。これらは、2014年から2015年に出回った、健保を装ってウイルス「Emdivi」に感染させようとする標的型攻撃メールと全く同じです。

 三つめは、添付ファイルのサイズです。ウイルスが含まれていると思われる添付ファイルのサイズが9Kバイトしかありません。通常、標的型攻撃メールに添付されたEmdiviは、200Kバイトくらいです。9Kバイトはあまりに小さく、指定したURLにアクセスするくらいのことしかできないと思います。

▼日本学術振興会を装ったウイルス付きメール
2017年4月号本連載で取り上げた。
▼健康保険組合連合会
各健保を会員として、相互で運営をサポートしたり、調査を行ったりする団体。
▼Emdivi
日本年金機構の情報漏洩事件にも使われた。