全4957文字
PR

 サイバー被害を減らしたい――。この思いの下、無償で日本のサイバーセキュリティーに貢献しているセキュリティー技術者50人ほどの集まりがあることはまだあまり知られていない。「ばらまきメール回収の会」である。

 ばらまきメール(ばらまき型メール)とは、不特定多数に向けて同じ文面のなりすましメールを送り、マルウエアに感染させたりフィッシングサイトに誘導したりするサイバー攻撃だ。2014年ごろから発生するようになり、主にネットバンキングなどからの不正送金を働くマルウエアを広めている。

Emotetの脅威、再び

 ばらまき型メールで拡散されるマルウエアに今、日本政府も脅威を感じている。「Emotet(エモテット)だ」。国のサイバーセキュリティー戦略をかじ取りする内閣官房の内閣サイバーセキュリティセンター(NISC)が2020年7月21日に公表したばかりの「サイバーセキュリティ2020」にそれが表れている。

 サイバーセキュリティ2020はサイバーセキュリティ基本法に基づく年次計画について、過年度(2019年度)の報告と今年度(2020年度)の計画をまとめたもの。1部2章の「2019年度のサイバーセキュリティに関する情勢」において、「2019年度においては、ばらまき型メールによるEmotetの再流行が広がり、数多くの組織・企業において情報流出等の被害が公表される事態が起こっている」と言及した。

 さらに「Emotetは2014年に存在が確認されたマルウェアであるが、機能追加による進化を遂げ、(中略)進化したEmotetは感染端末のメールアカウントや本文などを窃取する機能があり、それを悪用することで、例えば取引先の担当者からの返信メールなどを装うことで、ユーザに不正なファイルやURLを開かせることを誘い、感染を広げていく」と説明。「今後、新たな機能が追加されるなどした場合には、脅威が高まるおそれがあり、引き続きの警戒が重要である」と続けている。

 サイバーセキュリティ2020の公表前日、2020年7月20日。日本全国で起こったセキュリティー上の問題(インシデント)の共有や事故対応支援などを担う一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)の早期警戒グループは「マルウエアEmotetの感染に繋がるメールの配布活動の再開について」との注意喚起を出した。要約すると、2019年10月から猛威を振るっていたEmotetは2020年2月以降、鳴りを潜めていたが2020年7月17日ごろから感染につながるメールが再び出始めた、という内容だ。危機の再来である。

 この7月17日にEmotet復活をいち早く検知し、情報共有を進めていた集まりこそが「ばらまきメール回収の会」だ。当日夜には会員が所属する組織の多くで対策が進んだ。

全てはTwitterから始まった

 なぜいち早く検知・対策できたのか。それは同会の成り立ちをひもとくと理解できる。前提として同会はTwitter上で発生した「個人」の集まりであり、取材を企業名と個人名ではなくTwitterの表示名で進めたため、本記事での会員表記もそれにならう。

 時計の針を約3年前、2017年8月に戻す。後に発起人となる「にゃん☆たく」氏は通信事業者のSOC(セキュリティー・オペレーション・センター)で不審メールを監視するアナリストであり、業務の一環で監視ルールに必要な情報を集めていた。その中で日本語のばらまき型メールについては「Twitter上の7、8人のつぶやきが唯一の情報源だった」(にゃん☆たく氏)。

 そこでにゃん☆たく氏はそれらのつぶやきからばらまき型メールの件名や通信先、マルウエアのハッシュ値などを米Google(グーグル)のスプレッドシートにまとめ始めた。2カ月ほど集め、監視ルールに組み込んだ。「ばらまき型メールに困っている人もいるだろう」と考えたにゃん☆たく氏は2017年12月、スプレッドシートを自分のブログで公開するとともに、Twitterで情報収集先だったアカウントに「お世話になりました」旨のリプライを飛ばした。

「ばらまきメール回収の会」発足のきっかけになった、にゃん☆たく氏のつぶやき
「ばらまきメール回収の会」発足のきっかけになった、にゃん☆たく氏のつぶやき
(出所:にゃん☆たく氏)
[画像のクリックで拡大表示]