セキュリティ対策ソフトのカスペルスキーは2015年6月4日、日本年金機構の個人情報流出事件(関連記事)を受けて、今回の標的型サイバー攻撃を解説する報道機関向け説明会を開催した。一連の標的型サイバー攻撃を「Blue Termite(ブルーターマイト)」と名づけた。
同社はブルーターマイトの活動が活発になった2014年秋ころからデータ収集と分析を続けてきた。川合林太郎代表取締役社長(写真1)は、「ブルーターマイトは日本全体を狙ったサイバー攻撃で、かつてない勢いで国内組織を襲っている。たまたま日本年金機構での被害が年金情報流出につながり大きく報道された。実はそれ以外の日本の官公庁や民間企業も標的になっている。『うちは大丈夫』という根拠の無い自信は捨てた方がよい」と警鐘を鳴らした。
日本語の実行ファイルで感染狙う
ブルーターマイトはキャンペーン(一連の攻撃活動)の名称。まずPCをマルウエアに感染させた上で、マルウエアは組織外にある「指令サーバー」と通信する。攻撃者が操る指令サーバーからの遠隔操作の指示を受け取り、PC内のファイル窃取などを試みる。攻撃全体が日本の官公庁・企業を狙うことに特化して設計されているのが特徴だという。
具体的な攻撃の手順はこうだ(写真2)。まず、攻撃者は「EMDIVI(エムディヴィ)」と呼ばれるマルウエア(ウイルス)やその亜種を電子メールに添付して標的に送る(関連記事:医療費通知を偽装した電子メールにご用心、遠隔操作ウイルス感染も)。カスペルスキーはEMDIVIの一例としてWordファイルに見せかけた実行ファイル(拡張子は.exe)を挙げた。ファイル名は「医療費通知のお知らせ.exe」「年賀状.exe」といったもので、PCで拡張子を隠す設定にしていると実行ファイルであることを見破りにくい(写真3)。
