ラックは2015年6月16日、都内で開催した記者会見で、日本年金機機構の情報流出に関わったウイルスと同系統の遠隔操作ウイルス「Emdivi(エンディビ)」について「多くの企業や組織が今も感染し、それに気づいていない状態と思われる」として注意喚起した。
ラックの調査によれば、Emdiviによる感染被害は2014年末から徐々に増え始めたという。攻撃を受けている企業は業種、業態、規模に傾向はないが、日本の組織が狙われている点、ウイルスに指示を出すC&Cサーバーと呼ぶ指令役のサーバーの多くが日本国内に置かれている点、警察やJPCERTコーディネーションセンターなど外部の組織からの連絡で初めて発覚するケースが多い点が共通する。
ネット中継で会見に参加したマクニカネットワークス セキュリティ研究センターの政本憲蔵氏は、Emdiviの典型的な攻撃ケースについて説明。同社は既に数十個のEmdiviを検出しており「少なくともこの数以上の企業がEmdiviに感染しているのは間違いない」(政本氏)とする。
標的型メールの仕組みはこうだ。まず差出人アドレスは多くがフリーメール(写真1)。ZIP形式かLZH形式の圧縮ファイルを添付している。本文の日本語表現に不自然な点はみられない。
写真1●Emdiviを添付したメールの送信で実際に使われた文面
[画像のクリックで拡大表示]
圧縮ファイルには、実行ファイル(.exe)形式の「ドロッパ」と呼ばれるタイプのウイルスが格納されている(写真2)。アイコンはWordなどのドキュメントファイルに偽装している。
写真2●添付された圧縮ファイルに含まれていた、アイコンを偽装した実行ファイル
[画像のクリックで拡大表示]
ドロッパは、実行すると二つのファイルを生成する。一つはおとりのドキュメントファイル、もう一つはPCを遠隔操作するRAT(Remote Access Tool)で、これがEmdiviの本体である。
