年金機構流出のウイルス「Emdivi(エンディヴィ」は組織が作っている(LAC・マクニカネットワークス注意喚起)

日本年金機構からの流出で原因となったウイルス「Emdivi(エンディヴィ)」ついてのメディア向け発表会。LACとマクニカネットワークスによる。ITジャーナリストの三上洋 @mikamiyoh がツイート中継したものをまとめます。 記事にもまとめています→ http://trendy.nikkeibp.co.jp/article/column/20150616/1065252/ 「犯罪グループが日本を狙い打ち、年金機構流出ウイルスの巧妙な手口:日経トレンディネット」
インターネット 情報漏えい 個人情報 三上洋 年金機構
56
三上洋 @mikamiyoh
年金機構流出「Emdivi」の詳細分析。LAC&マクニカ説明会レポートです/犯罪グループが日本を狙い打ち、年金機構流出ウイルスの巧妙な手口 日経トレンディネット nkbp.jp/1MZ4zSn
三上洋 @mikamiyoh
企業向けセキュリティ大手LACの説明会「水面下で侵攻するサイバースパイ活動」に来てます。年金機構流出で問題になったEmdiviについてマクニカネットワークスさんからも説明があるとのこと pic.twitter.com/D8gq2v6NPl
 拡大
三上洋 @mikamiyoh
LACサイバー救急センター内田氏による、サイバースパイ活動の状況報告 pic.twitter.com/76euh4Qhvj
 拡大
三上洋 @mikamiyoh
LACサイバー救急センターは、企業から緊急時に相談を受け対処する。年間300件、そのうち4分の1で情報漏えいがある。LAC内田氏 pic.twitter.com/Vv5MmzrTCC
 拡大
三上洋 @mikamiyoh
標的型サイバー攻撃の手口。大量ファイル送信でバレないように分割したり、暗号化するなど発覚しないような工作が行われている。LAC内田氏 pic.twitter.com/kBieXF8LfM
 拡大
三上洋 @mikamiyoh
年金機構のマルウェアEmdiviの傾向。攻撃した業種や規模は幅広い。1月から感染報告がある。5月になって感染したのではなく、それ以前から感染していて、気づいていない可能性が大。LAC内田氏 pic.twitter.com/SRVVAJQH9D
 拡大
三上洋 @mikamiyoh
Emdiviについてマクニカネットワークスの政木氏による説明。ドイツから。標的型メールの差出人はヤフーもしくはExcite。日本語は巧妙。添付ファイルはZIPかLZH pic.twitter.com/4Mt1eBl4OM
 拡大
 拡大
三上洋 @mikamiyoh
Emdiviの添付ファイルの中身。圧縮ファイルの中にワードやPDFのアイコンがあるが、実際には実行ファイル、ウイルスである。マクニカネットワークス政本氏 pic.twitter.com/7SREGPXCNw
 拡大
三上洋 @mikamiyoh
Emdiviで添付されてくる囮のファイル。フォントが日本語のものではない。マクニカネットワークス政本氏 pic.twitter.com/In1kTo5SoZ
 拡大
三上洋 @mikamiyoh
Emdiviの作成時間を見ると、昼時(と思われる)時間帯は少なく、土日はほとんどない。ここから見ると作っているのは個人ではなく、企業として働いている人が作っていると推測できる。マクニカネットワークス政本氏
三上洋 @mikamiyoh
Emdiviの指令サーバー(C&C)は、ほとんどが日本にあった。日本の企業ドメイン(乗っ取られたもの)が多い。侵入後はブラウザに記録されたIDとパスワードを読み取るツールを実行。ここから他のシステムに侵入。マクニカネットワークス内田氏
三上洋 @mikamiyoh
年金機構でのマルウェア「Emdivi」についてのマクニカネットワークスの政本憲蔵氏のレクチャーがとても興味深い。リアルタイムツイートが追いついていないので、後でまとめます(LAC注意喚起の説明会)
三上洋 @mikamiyoh
年金機構情報流出は、実害をきちんと把握できたサイバースパイ事件かもしれない。C&Cサーバーが日本にあったのでNISCなどが把握できたため。LAC西本氏
三上洋 @mikamiyoh
普段はとけない暗号化された流出ファイルがとけた、C&Cサーバーが国内、NISCが情報を把握している、など情報流出ではレアなケース。このケースを活かして、今後のインシデントの参考になる。LAC西本氏
三上洋 @mikamiyoh
質問:Emdiviは他にも攻撃、300社との報道も。何社あるかわかるか? マクニカ政本氏:弊社が確認しているのは図の通り。これでも氷山の一角か(図には80個ぐらいある:三上カウント)
三上洋 @mikamiyoh
質問:犯人の検挙について。従来の事件との比較などを 西本氏:C&Cサーバーが国内にあるので徹底的に調査すれば犯人像を調べられる可能性がある(従来の事件に比べて)
三上洋 @mikamiyoh
質問:カスペルスキー発表のものと同じか? 政本氏:報道を見る限り、同じ攻撃グループのものだと思われる。 西本氏:日本だけを狙っているものだ。ベンダーの連携は行っている
三上洋 @mikamiyoh
質問:Emdiviの構造、何をもってEmdiviと呼ぶか? マクニカ政本氏:2013年9月が最初の検体。最新のものは6月。65個の検体があるが、当初から順番に体系化されたバージョン管理がされている痕跡がある。
三上洋 @mikamiyoh
質問:Emdiviのメール宛先の傾向は? マクニカ政本氏:ネット上の公開されているメールアドレス宛てに送るパターンが多い。しかし以前にハッキングされたり漏洩したデータから、メールアドレスを取得した形跡もある
三上洋 @mikamiyoh
質問:C&Cサーバーの海運会社で漏えいデータがみつかっているが、これは珍しい例ではないのか? マクニカ政本氏:犯人は通常、C&Cサーバーにファイルを引き出すので一般的な方法だ(別の場所に送るパターンもある)

コメント

Nami Aikawa @Epitaphchaos 2015年6月16日
Emdiviの作成時間帯がわかるんですね。
松平俊介@暑い @matu2syun 2015年6月16日
犯罪組織の背景をきちんと追ってもらいたい。
西村誠一 @khb02323 2015年6月17日
Emdiviウィルスの通信も自動検出可能なフリーソフトを宣伝してみます http://nisimura.blog.jp/archives/51324007.html
tomo @tomo_091519 2015年6月17日
日中にver管理されるVIRUSか。。。
A- @eimainasu 2015年6月17日
作成時間!そんな分析方法があるとは
リベリオン.3go @liberaldenial 2015年6月17日
まぁ、ウイルス対策ソフトのメーカーが注意喚起してる脅威って大体チームが作ってるよねきっと。
ログインして広告を非表示にする
ログインして広告を非表示にする