世間で大きく報道されているマルウェアEmdivi（エムディヴィ）やCloudyOmega（クラウディオメガ）に関連する件において、被害組織に対する非難の報道が多い一方で、本当に非難するべき対象は攻撃者であり、攻撃者に関する情報がほとんど報道されていないように見受けられます。この状況を少しでも変えるべく、弊社が把握している情報を、差支えのない範囲で共有させて頂きます。

なお、この記事は、Emdiviと呼ばれるRAT（Remote Access Tool）に分類されるマルウェアに関する内容であり、今年1月の記事の続報であります。

弊社が今までに捕獲したEmdiviのマルウェア検体、およびそれらの接続先であるC2サーバのホスト名とIPアドレスの相関をまとめたものが図1の通りです。黄色がマルウェアのハッシュ（ドロッパおよびRAT本体）、青色がC2サーバのホスト名、緑色がC2サーバのIPアドレスを示します。

図1　Emdivi RAT検体とC2サーバとの相関

多くの検体は、複数のC2サーバへ接続するように実装されており、そのうちの多くが日本国内にある正規サイトが悪用されています。しかし、一部は海外にあり、当初から攻撃者が運用管理していると思われるC2サーバも見つかっています。

図2は、合計65個のRAT検体に残されたコンパイル年月日を、月毎に集計したものです。（ドロッパは含まない。）

図2　Emdivi RATがコンパイルされた年月日

検体に残されるコンパイル日時は、技術的に詐称可能です。しかし、一部の事案において、検体内に残された別のタイムスタンプと、攻撃が実行された日（攻撃メールが送信された日）との相関を見ることで、一連のEmdivi検体に限っては、検体から確認できるコンパイル日時が正しいだろう、と考えています。つまり図2は、攻撃者が2013年9月には既に活動をしていた可能性を示しています。直近では、2015年6月2日に攻撃が実行された（メールが送られた）痕跡を確認しています。報道されている被害は氷山の一角であり、かなり前から、すでに多くの国内組織が攻撃を受け、情報を搾取されています。また全てのRAT検体は体系化されたバージョン管理がされており、いずれも同一の組織にて作成されたと考えています。

ドロッパに含まれていたデコイファイルは様々ですが、「医療費通知のお知らせ」を装った件では、図3に示すように、中国語のフォントが確認されています。

図3　「医療費通知」を装ったデコイファイル

そこで、コンパイル時刻を北京時間（UTC+8）で集計してみます。（図4）

図4　Emdivi RATがコンパイルされた時刻（UTC+8）

10:00AM付近を中心に午前中に作成された検体が多いようですが、全体的に、だいたい一般的な民間企業や公的機関の労働時間に収まっているようです。曜日で集計すると、やはり土日に作成された検体が少ないことが確認できました。（図5）

図5　Emdivi RATがコンパイルされた曜日

さらに、図1のコンパイル年月日に戻ってみると、弊社が観測できた限りにおいては、2015年2月にコンパイルされた検体が1つしかなく、さらに春節（旧正月）の期間にコンパイルされた検体は見つかっておらず、前後の月に比較して少なくなっていることが分かります。

以上の事実は、あくまで弊社が捕獲できたEmdivi検体（65個）に限ったものでありますので、氷山の一角である可能性があり、全体像とは違う可能性を否定することはできません。しかし、限られた情報の中から得られた解析結果として皆様に共有をさせて頂きます。