カスペルスキーが調査によって紹介したのは「Emdivi（エンディビ）」「Elirks（イラークス）」と呼ばれるマルウェア。

Emdiviは標的型攻撃メールを使い攻撃を行う。Emdiviは動作に必要な情報をマルウェア内で暗号化しており、Windowsのパソコンで使われるセキュリティ識別子（SID）を利用し、復号して動作する。SIDを使って復号鍵を生成する仕組みにすることで、特定のパソコンでしか動作しないようにした。主な標的は日本で、2013年には初めて発見された。2015年5月には日本年金機構への不正アクセスによる情報流出で使用されている。

Emdiviの概要

一方、Elirksは、航空機会社の予約確認メールなどになりすました標的型メール攻撃を使って実行フォルダーを送付。フォルダーをユーザーが実行することで、復号鍵が生成される。この仕組みを取り入れることで実際にフォルダーを保存し、実行したパソコンのみで動作するようにした。

Elirksの概要

また、マルウェアが通信する「指令サーバー」と呼ばれる外部サーバーのアドレスを隠し、犯罪者が開設したブログにアクセスして実行する仕組みを使っているという。Elirksの主な標的は日本、台湾、ロシアで、16年3月にはJTBの不正アクセスによる個人情報流出や同年11月の日本経済団体連合会（経団連）への攻撃で使用されている。

特定環境でしか動作しない、こうしたマルウェアはセキュリティソフトベンダーのウイルス対策ソフトの検知リストから漏れやすくなるとともに、ベンダーがウイルス対策のための検体を入手しづらいという。

「事前に登録したプログラムだけを実行するホワイトリスト型のウイルス対策のように、犯罪者側からも特定の環境だけで動作するマルウェアを作成してきている」。この2つのマルウェアが出現した背景について石丸傑・情報セキュリティラボ マルウエア リサーチャーはこう説明した。

石丸傑・情報セキュリティラボ マルウエア リサーチャー

さらに、「最初のマルウェアで標的とするパソコンやWebサイトの環境を調査し、その標的の環境だけで動作するマルウェアを使って攻撃をしかける手法」と解説。「攻撃者もこれまでよりも多くの攻撃コストをかけるようになってきている」と話した。その上で「セキュリティベンダーが公表する情報を確認するとともに、セキュリティ意識を高め攻撃しにくい環境を整備することが大切」と述べた。