travel


 先日、大手旅行会社JTBのサーバーがウイルス感染をし、個人情報が流出したというニュースが流れました。
以前にも政府機関や大手の会社などでも同様の事件がありましたが、今回はどんなウイルスが感染されたのかを簡単に説明していきます。この情報で各企業のセキュリティ対策を考えている人などはぜひ参考にしてください。


virus_warning

 今回感染されたウイルスは「ELIRKS」と「PlugX」と呼ばれる2種類のウイルスとなります。
 「ELIRKS」はトロイの木馬型ウイルスで、別名「KLURP」と呼ばれています。

トロイの木馬型ウイルスは何か?という人は0から楽しむパソコン講座の本ページに説明を記載しています。
下記リンクになりますので、読んでみてください。

http://zeropaso.gozaru.jp/netw2sec2.html

(0から楽しむパソコン講座 ネットワークセキュリティ編1 コンピュータウイルスの種類)


この 「ELIRKS」はウイルス本体の危険度はセキュリティ情報でも「低」になっています。
このウイルス本体の活動はソーシャルネットワークなどに勝手に「投稿」するウイルスで、日本国内のみの感染が確認されており、海外での感染事例がないウイルスです。

 一方の「PlugX」は遠隔操作できるウイルスで、近年このウイルスを使っての事件が多発しています。
 正確に言うと、「PlugX」はウイルスではなく、マルウェアとなります。
数年前にも遠隔ウイルスが使われて誤認逮捕されたなどといった事件がありました。最近多発している代表的なウイルス・マルウェアの種類ですが、近年の遠隔操作には「Sunblade」というマルウェアが使用されており、今回使用された「PlugX」は数が減っていると言われています。
 「PlugX」を使用する場合のほとんどは、カスタマイズを行って直接ターゲットのサーバにプログラムを仕組み、完全に相手から端末の操作を行えるようようになるということです。そのため、プログラムのソースコードなどを解析すると、攻撃した犯人を特定できる可能性があります。

 今回の事件の発端は1通のメールからでした。実在する取引先のメールアドレスに偽装し、航空券の偽装PDFファイル(eチケットの控えに偽装されたファイルみたいです)を担当者に送り付けるという巧妙な手口でした。
 担当者は実在する取引先のメールアドレスだったため、このPDFファイルを開いたところ、実はPDFファイルではなく、プログラムの実行ファイル(EXEファイル)だったようです。しかし、このファイルを開いたところ、実際にPDFで航空券の控えが表示されたため、担当者は気づかなかったようです。

 このように今回の手口は実に巧妙で、普段の取引の業務の中で感染させようとした出来事であり、感染されたことが分からないように仕組んでおります。そのため、情報漏えいに気づいたときにはある程度の時間が経っていたと思います。また、これらの手口の方法から犯人は実際に以前にこの旅行会社と同じようにやり取りを行ったことがあり、それを参考にして今回の手口を実行させたかもしれません。

 今回の事件から学べるのは、昔とは違い情報漏えいの対策方法が非常に難しくなっているということです。
いかにして感染させないか、また感染した場合すばやす措置をとるかということですが、使用している端末がいつもと違うちょっとした変化も見逃さないのが重要となるでしょう。また、顧客管理等を行っているサーバーなどでは定期的にログインパスワードやログイン名を変更することや、通常メールなどを使用している端末などのネットワークと分離する(顧客管理などの専用の端末とし、通常のネットワークを切り離す)、常に接続されている端末などの情報を監視できるシステムの強化なども必要になってくると思います。