2015年にサイバーセキュリティ分野で発生した大事件として、日本年金機構を狙った「標的型攻撃」を思い出す方は多いと思います。最終的に約125万件もの個人情報を流出させてしまい、他の機関も同様の攻撃を受けていたことが判明。大きな社会問題になりました。
この攻撃をセキュリティベンダーのカスペルスキーは「Blue Termite」と命名しています。今回は、この日本だけを狙った「標的型攻撃」についてまとめました。
2024年になり、大手企業を狙った大規模な持続的標的型攻撃(APT)が発生している可能性が高く、上場企業などの被害が続々と報告されている今、標的型攻撃について知っておきましょう。
- もくじ
1. 2015年に発生した「日本年金機構からの個人情報流出事案」
1-1 事件の概要
2015年5月に発生し、6月に発覚したのが、「日本年金機構からの情報流出事案」です。
これは日本年金機構(JPS:Japan Pension Service)の情報システムから約125万件もの個人情報が流出した、大規模なサイバーセキュリティ事件です。
のちに他の機関、企業も同様の攻撃を受けていたことが判明し、日本中に衝撃が広がりました。
出典:日本年金機構における不正アクセスによる情報流出事案について(厚生労働省)
この事件を機に、情報セキュリティの重要性があらためて強く認識されるようになりました。
この日本を標的とした一連のAPT(Advanced Persistent Threat)攻撃は、その後、セキュリティ会社カスペルスキーより「Blue Termite(ブルーターマイト:青いシロアリ)」と名付けられています。
1-2 事件の発端は「電子メール」
報道等々によると、事件の発端は、標的型メール攻撃を利用した不正アクセスです。はじまりは、2015年5月8日に日本年金機構の職員が受信した電子メールでした。
この電子メールには、ウイルスが添付ファイルとして仕込まれており、開封したことでマルウエアが侵入、内部ネットワークが感染して不正アクセスが行われ、情報が流出したことになります。
日本経済新聞の記事によると、「少なくとも2人の機構職員の端末が感染した」ことが発端でした。
1-3 流出した情報の概要
流出した情報は、年金受給者および年金加入者の個人情報です。
日本年金機構の発表資料「日本年金機構の個人情報流出について」によると、流出した件数は約125万件。
この内訳は、二情報(基礎年金番号、氏名)が約3.1万件、三情報 (基礎年金番号、氏名、生年月日)が約116.7万件、四情報 (基礎年金番号、氏名、生年月日、住所)が約5.2万件とインパクトの大きい数字でした。
1-4 社会への影響
流出した情報の中でも、基礎年金番号は年金に関する基本かつ重要な情報だったこともあり、日本社会に波紋が広がりました。
上の日本経済新聞の記事にもありますが、安倍首相(当時)はじめ、日本政府も素早く反応しています。日本年金機構は、被害を受けた個人に対して通知を行い、被害拡大を防ぐための対応策を講じていますが、政府機関のネットワークへの国民の信頼は大きく低下することになりました。そして、「日本年金機構からの情報流出事案」以降、政府機関のみならず、ネットワークの安全性への関心が大きく高まり、現在に至っています。
2. 標的型攻撃「Blue Termite」とは?
2-1 「Blue Termite」とは?
「Blue Termite」とは、2015年に大きな被害を出した、日本を標的とする持続的標的型攻撃(APT:Advanced Persistent Threat)のひとつです。
「Blue Termite(青いシロアリ)」とちょっと奇妙で不気味な名称をつけたのは前述の通りセキュリティベンダーのカスペルスキーです。
APT攻撃とは、高度(Advanced)かつ持続的(Persistent)に特定の組織内を「標的」にして実行される攻撃・脅威(Threat)のことです。
総務省の『最近のサイバーセキュリティに おける脅威動向について』では「APT」を「高度で執拗な脅威」とし、次のように説明しています。
●APTによる攻撃の定義
APTによる攻撃とは、特定の相手に狙いを定め、その相手に適合した方法・手段を適宜用いて侵入・潜伏し、数ヶ月から数年にわたって継続するサイバー攻撃のこと
攻撃は組織的に行われ、さまざまな手段を複合的に用いるのが特徴です。そのため、ほとんどの場合、攻撃者は何らかの集団、組織となります。
2-2 「Blue Termite」の特徴
カスペルスキーは、技術ブログ等でそれまでのAPT(持続的標的型攻撃)と「Blue Termite」では、大きく2つの点で異なると指摘しています。
- 日本の組織を狙った攻撃
- C&Cサーバーのほとんどが日本に設置されている
C&Cサーバーとは、「コマンド&コントロール」をするサーバーのことです。攻撃者がマルウエアに指令を出し、盗み出した情報を受け取るために使用します。
これらが日本国内に設置されていたことで、多くのケースでフィルタリングシステムが回避されてしまい、被害を拡大させたとされています。
他の報道等々を参照すると、日本がターゲットにされた理由としては、経済的価値が高いこと、国際政治的な影響が大きい国であること、それにもかかわらず、セキュリティの脆弱性があり、意識が低かったことなどが挙げられています。
2-3 どんな"攻撃"をされるのか?
「Blue Termite」では、先ほども述べたように、標的型メール攻撃を足がかりにしていました。電子メールには、マルウエアが仕込まれた添付ファイルやリンクが含まれていて、これを開くとマルウエアがシステムに侵入する流れです。
次に、マルウエアはシステム内で活動を開始して、ネットワーク内で感染を拡散させていきます。
そして、ネットワーク内で機密情報を収集し、攻撃者に送信してしまいます。この際、さらにキーロギング※等々も行って攻撃を続けていくのです。住宅内に侵入したシロアリが家を蝕んでいくような怖さがあります。
※キーロギング:キーボードでPCに入力する内容を密かに横取りし、記録する行為
「Blue Termite」では、攻撃対象に応じてカスタマイズされたマルウエアが使用されており、日本年金機構を狙った事案では「Emdivi(エンディビ)」と呼ばれる遠隔操作マルウエアが使用されていました。
とくに「Emdivi t17」と「Emdivi t20」が知られています。
「Emdivi t17」は、初期段階の侵入に使用され、より高度な「Emdivi t20」は、ネットワーク内での持続的な活動を目的としていて、自己防衛機能があり、情報の窃取や感染拡大に関する機能を持っていました。これにより、攻撃がより効果的なものになってしまったと指摘されています。
3. 「攻撃」を受けてからの対応
セキュリティ対策を行っているラックは2015年6月、つまり、日本年金機構の事案後すぐに「Emdivi」に対する注意喚起をしています。
記事によると「Emdivi」が見つかるケースは80超で、遠隔操作マルウエアの報道で不安を感じた企業からの調査依頼で判明したといいます。また、攻撃は2014年末から増えていたということです。
日本年金機構への攻撃は、発見からの迅速な対応と解析によって、すぐに攻撃の手法やマルウエアの詳細が明らかになりました。
ここから、侵入経路の遮断やマルウエアの駆除が行われています。2015年8月には日本年金機構から詳細な報告が出されました。
4.「まだ、潜伏している?」今後の対策
4-1 まだ安心はできない
2015年に「Blue Termite」攻撃が発覚し、対策も報告も終わっていますが、実際のところ、完全に終息しているとはいい切れません。日本年金機構以外の日本の組織も狙われています。
APT攻撃は、文字通り、高度で持続的な脅威・攻撃であるため、一度、対応したからといっても、攻撃者が新たな手法や技術を用いて再び攻撃を仕掛けてくる可能性があるため、安心はできません。
主に日本の大企業を狙った大規模なAPT攻撃は、今も続いていると考えられます。2024年の前半は、大手上場企業から、多くの大規模な被害が報告され、大きく報道され、日本中に危機感が広がりました。今後は中小企業であっても、標的になってしまう可能性があります。気をつけたいところです。
4-2 気をつけるべき5つのポイント
今後、どのようなことに気をつけるとよいか、ポイントがいくつか指摘されています。主な5つのポイントをご紹介します。
セキュリティ意識の向上
教育とトレーニングは重要です。とくに組織の全従業員に対して、定期的なセキュリティトレーニングを実施することが重要です。とくに、疑わしいメールにある、怪しげなリンクや安全が確認できない添付ファイルを開かないようにする意識を徹底させることが必要になってきます。
情報セキュリティ意識を高めるため、セキュリティポリシーを明確化して遵守することや、日常的なセキュリティ対策の実施を徹底していくことが第一歩になります。組織にセキュリティ文化を根付かせることが大切です。
技術的対策の強化
最新のセキュリティソフトウェアを導入して、セキュリティソフトウェアを最新の状態に保つことが重要です。ウイルス対策ソフトやファイアウォールなども同様です。
また、ソフトウェアやシステムの脆弱性を定期的にチェックして脆弱性管理をすることも大切です。早急に修正パッチを適用することがポイントになってきます。未修正の脆弱性は、攻撃者に利用されるリスクが高いのです。
多層防御
多層的にセキュリティ対策を実施することで、攻撃の検知と防御をどちらも強化できるメリットがあります。ネットワークセグメンテーション、侵入検知システム(IDS)や侵入防止システム(IPS)の導入が効果的とされています。
ログ管理と監視
ネットワークトラフィックやシステムログを定期的に監視し、異常な活動を早期に検知できるようにしておくことも大切です。
インシデントレスポンス計画
セキュリティインシデントが発生した場合の対応計画を事前に策定し、迅速に対応できる体制を整えておき、演習をしておくことが有効です。
まとめ
「Blue Termite」のような日本を狙ったAPT攻撃は、依然として終息しているとはいえません。
最近の報道を見ても、企業を狙った大規模な攻撃が行われていることが分かります。すこしでも被害を受けないためにも、組織全体でセキュリティ文化を醸成していくことが不可欠といます。
さまざまな対策を実施して、脅威やリスクを最小限に抑えて、情報セキュリティを確保していきましょう。