年金情報流出公表1週間 重なる隠蔽工作 中国語の書式
■複数サーバー経由…相手国の協力不可欠
日本年金機構の年金個人情報流出事件は、8日で機構の公表から1週間。これまでにウイルスに感染した端末や乗っ取られた国内のサーバーは特定されつつあるが、サイバー攻撃の発信元は分かっていない。警視庁公安部は通信記録の解析を進めているが、サイバー攻撃では発信元を隠蔽(いんぺい)するソフトウエアを駆使することが多く、全容解明のハードルは高い。
◆日本しか狙わず
関係者などによると、職員に届いたウイルスメールはフリーメールサービスを使って送られていた。フリーメールサービスのアドレスは偽名でも取得でき、IDとパスワードさえ用意すれば複数、用意できる。
また、流出した個人情報の一部は、機構や攻撃者と関係ない都内の海運会社のサーバーに残っていた。何らかの脆弱(ぜいじゃく)性を突かれて乗っ取られ、遠隔操作の踏み台にされたとみられる。
今回の攻撃は「標的型攻撃」とされ、狙った組織の弱点をあらかじめ調査したうえで実行される。端末が感染したウイルスは「バックドア」型と呼ばれ、外部からコンピューターに侵入する「裏口」を用意する機能を持っていた。
攻撃者はこのウイルスに感染した端末を遠隔操作することで、端末内に保存されている情報や、端末が接続されているシステムに勝手にアクセスし、情報を盗み取る。
ウイルスの型やサーバーを乗っ取る手段などの特徴が合致することから、攻撃者は昨秋に衆院議員や大手企業にウイルスメールを送った攻撃者と同一グループか、その協力者ではないかとの見方もある。セキュリティー会社によると、このグループは「日本の組織しか狙わない」という特徴も持っているという。
◆途中から追跡不能
警視庁公安部は関係するサーバーや端末の捜査を進めているが、攻撃者の特定は困難を極めそうだ。
端緒となるのはそれぞれの通信履歴。機構や海運会社のサーバー、メールに表記されていたリンク先のサーバー、フリーメールサービスを利用したときのIPアドレスの記録が手掛かりになる。ウイルスのプログラムには、盗んだ情報のあて先が書かれている場合もあり、情報が流れた経路を把握するのにも役立つ。
しかし標的型攻撃を含むサイバー攻撃は、複数のサーバーを経由させて仕掛けられ、発信元を匿名化するソフトウエアが使われていることが多く、解析は容易ではない。
海外からの攻撃であれば、通信経路をある程度たどれたとしても、途中から追跡できなくなることがほとんどだ。海外のサーバーの記録を見るには管轄の捜査当局に照会する必要があるが、相手国によっては数カ月かかり「記録の保存期限が終わった」として回答が得られない場合も少なくないからだ。
今回のウイルスは中国語の書式が採用されており、「中国語圏の人物が関与した可能性があるが、だとすれば攻撃者の特定は極めて難しい」との声は多い。捜査関係者は「何らかのミスで余計な記録を残していないかなど相手の『綻(ほころ)び』を探しながらの捜査になる。時間がかかることは間違いないだろう」と話した。
日本年金機構の年金個人情報流出事件は、8日で機構の公表から1週間。これまでにウイルスに感染した端末や乗っ取られた国内のサーバーは特定されつつあるが、サイバー攻撃の発信元は分かっていない。警視庁公安部は通信記録の解析を進めているが、サイバー攻撃では発信元を隠蔽(いんぺい)するソフトウエアを駆使することが多く、全容解明のハードルは高い。
◆日本しか狙わず
関係者などによると、職員に届いたウイルスメールはフリーメールサービスを使って送られていた。フリーメールサービスのアドレスは偽名でも取得でき、IDとパスワードさえ用意すれば複数、用意できる。
また、流出した個人情報の一部は、機構や攻撃者と関係ない都内の海運会社のサーバーに残っていた。何らかの脆弱(ぜいじゃく)性を突かれて乗っ取られ、遠隔操作の踏み台にされたとみられる。
今回の攻撃は「標的型攻撃」とされ、狙った組織の弱点をあらかじめ調査したうえで実行される。端末が感染したウイルスは「バックドア」型と呼ばれ、外部からコンピューターに侵入する「裏口」を用意する機能を持っていた。
攻撃者はこのウイルスに感染した端末を遠隔操作することで、端末内に保存されている情報や、端末が接続されているシステムに勝手にアクセスし、情報を盗み取る。
ウイルスの型やサーバーを乗っ取る手段などの特徴が合致することから、攻撃者は昨秋に衆院議員や大手企業にウイルスメールを送った攻撃者と同一グループか、その協力者ではないかとの見方もある。セキュリティー会社によると、このグループは「日本の組織しか狙わない」という特徴も持っているという。
◆途中から追跡不能
警視庁公安部は関係するサーバーや端末の捜査を進めているが、攻撃者の特定は困難を極めそうだ。
端緒となるのはそれぞれの通信履歴。機構や海運会社のサーバー、メールに表記されていたリンク先のサーバー、フリーメールサービスを利用したときのIPアドレスの記録が手掛かりになる。ウイルスのプログラムには、盗んだ情報のあて先が書かれている場合もあり、情報が流れた経路を把握するのにも役立つ。
しかし標的型攻撃を含むサイバー攻撃は、複数のサーバーを経由させて仕掛けられ、発信元を匿名化するソフトウエアが使われていることが多く、解析は容易ではない。
海外からの攻撃であれば、通信経路をある程度たどれたとしても、途中から追跡できなくなることがほとんどだ。海外のサーバーの記録を見るには管轄の捜査当局に照会する必要があるが、相手国によっては数カ月かかり「記録の保存期限が終わった」として回答が得られない場合も少なくないからだ。
今回のウイルスは中国語の書式が採用されており、「中国語圏の人物が関与した可能性があるが、だとすれば攻撃者の特定は極めて難しい」との声は多い。捜査関係者は「何らかのミスで余計な記録を残していないかなど相手の『綻(ほころ)び』を探しながらの捜査になる。時間がかかることは間違いないだろう」と話した。
---------------------------------------------------------------
頑張れ、日本
