感染してすぐに暴れはじめたのではなく、ウイルスは、使っている環境を把握した上で、C&Cというサーバに強制的にアクセスさせてその環境に最適な攻撃プログラムをダウンロードしてから暴れ出した。踏み台になったのは港区の海運業者のサーバだった。

脆弱性にはソフトウェア的と運用的の両方が存在する。運用的な脆弱性の例えは、パスワードを察しやすい非常にいいかげんなものに設定しているケース。当然、サーバに侵入されやすい。このタイプの感染が日本年金機構のPC31台から見つかった。本来なら保存しない情報がPC内にあった。利便性を優先したからだ。

流出した情報はそのまま攻撃者に届くのではなく、別のサーバにまず送って隠しておいてから届けていた。悪用したサーバももちろん攻撃者が自由に操れるようになっていた。

流出した情報は全部で125万件。対象者は101万人だったと報告されている。実際にどこから攻撃されたのか。本当のところはわからない。ただ、民間企業のマクニカが分析している。

写真を拡大  出典:NISC サイバーセキュリティ戦略本部

添付ファイルに入っていたのはEmdiviというウイルス。その特徴は亜種をどんどん作り、ウイルスチェックやワクチンからの攻撃をすり抜けるように改良を重ねている点。そのファイル作成の時間を解析すると、9~12時、14~17時に偏っていた。一般的な国内組織の勤務時刻とほぼ一致している。普通、ハッカーの攻撃なら1日中、あるいは夜のみになる。ただし、標準時刻で考えると今回は日本より1時間ずれていたことから攻撃の可能性が高い国は断定できないが推測はできる。

写真を拡大
写真を拡大