年金情報漏えい報道から、いくつかの考察―その時、どうすればよかったのか？

更新日: 2015/06/03
公開日: 2015/06/02

通知

　今回は、年金情報の漏えいについての報道から、いくつか考察してみたいと思う。今回の漏えいでは、様々な観点で参考にするべきポイントがある。様々な批判や指摘がされているところではあるが、実際のところ、多くの企業や組織で同じような状況が繰り返されている。

通知

どう対応すればよかったのか？

　まず、報道発表が遅い、という批判が多いが、感染が5月8日であるとすると、3週間程度での発表となり、標的型攻撃の報道発表の中では「早い」部類になる。

　一方、１台目の感染が確認されたのちに「注意喚起」を行ったものの、複数台が感染した、と報道されていることは残念なポイントである。その後の調査で今回の被害が判明することになる。

　報道では、感染後の対処がどのようなものであったか、どのようなセキュリティシステムが機能していたのか、についてはほとんど触れられていないので、ここでは、本来行うべきであった対応について考察してみたい。

　標的型攻撃によってマルウェアに感染したことは、多くの場合「添付ファイルが正常に表示できない」「身に覚えのない内容」であることでユーザ自身が気づくことができる。このことは、セキュリティ教育でも取り入れるべきである。しかしながら、しっかりと作りこまれたメールである場合には、それでも気づかないことがあることは留意しなければいけない。

　感染したことが分かった場合、または、感染したかもしれない、と思った場合には、まず、ネットワークから切り離すべきである。例えば、ネットワークスイッチで遠隔で隔離する方法も考えられる。しかし、メモリダンプが取得できる状況にある場合においては、ネットワークを切断せずにメモリダンプを取得してからスリープにすることも考えられる。ネットワークを切断すると、マルウェアが自分自身を消去してしまうことがあるので、ネットワークを切断しない方がいいという考え方もある。

　どちらを選択するか？

　フォレンジックを優先するならメモリダンプを取得したいところだが、情報漏えいを少しでも防ぐ、という観点であれば、ネットワークや電源の切断が優先されるだろう。これはCSIRTの考え方次第である。

　そして、隔離したPCのフォレンジックを行うべきである。メールの添付ファイルをウイルスワクチンベンダーに提供して、調査してもらったりパターンファイルを作ってもらい、それを全PCに適用する、という対応をすることも多いと思われるが、開いてしまった後では、対応が異なる。

　なぜなら、感染した後には、複数の「仲間」がダウンロードされてくるからである。その「仲間」が本当のマルウェアであり、様々な活動を行う。従って、最初の添付ファイルは、単純に本体をダウンロードして実行するためのものにしか過ぎないうえに、同じものが他で使われることは少ない。

　従って、フォレンジックによって、複数の「仲間」を探し出す必要があるのだ。その「仲間」は、感染が広がった場合に他のPCからも見つかることが多いので、感染範囲の推定と被害拡大防止に役立つ。注意すべきなのは、こうした「仲間」はウイルスワクチンベンダーではパターンファイルを作成してくれないこともある、ということだ。S&Jではこうした事例でも対応している。

　PCのフォレンジックと同時に行わなければならないのは、ログ分析である。特にプロキシやファイアウォール、ADは必須である。今回の場合、共有ファイルサーバも対象になる。ログ分析は、普段から収集、分析のできるシステムと体制が欠かせない。SOC(Security Operation Center)に欠かせない機能で、高速にログを取り込み、様々な角度から分析ができることが求められる。このログ分析システムがあれば、感染したPCが通信した通信量や通信先が特定され、他の感染PCの探索に非常に有用となる。

　今回の場合、ログの分析が行われたかどうかは報道されていないが、外部との通信が確認された時点でCSIRTとしては「緊急事態」となり、状況次第では、現在行われている「インターネット遮断」を決断できたはずだ。そうすれば被害の拡大は防げたと思われる。

　また、気になるのは「メールの漏えい元」と「メールアドレスの漏えい元」である。標的型攻撃に使われるメールは、多くの場合、実際のメールが使われることが多い。つまり、他に感染したPCがあり、そのPCからメールが盗み出されて悪用されることが多いのだ。「メールの漏えい元」を突き止めるのは困難な場合が多いが、特定の組織が想定される場合には、注意喚起や調査依頼をするべきである。他の組織へも攻撃を行っているかもしれないうえに、さらに他の組織で感染が広がる可能性があるからである。

　今回のようなケースの場合、メールサーバのログも調査するべきである。送られてきたメールが、存在しないメールアドレスに大量に送られてきたのか、そうでないのかによって、対応が異なる。相手がメールアドレスを知っていたと思われる場合には、「すでにメールアドレスが漏えいしている」ということになるからだ。これまでに対応してきた事案の多くで、「すでにメールアドレスが漏えいしている」と思われることが多かった。

　つまり、すでに何度も攻撃を受けていて、その過程でメールアドレスや職員名簿が盗まれていた、ということだ。攻撃者は、国家的な組織であることがあるので、その場合、職員名簿はターゲットとして優先順位が高いと思われる。従って、メールアドレスが持ち出されていた、と推測される場合には、他の情報もすでに持ち出されていた、と推測されるのだ。

　すでに何度も侵入を許してしまっていたかどうかを確認するためには、最低でも１年、できれば３～５年のログをさかのぼって、不審な活動が内部ネットワークで行われていないのかを分析する必要が生じる。そのためにも、中長期のログの保存と分析のシステム、体制が必要になる。

　これらを最初のマルウェア感染の時点から即座に対応するべきなのであるが、いずれかの対応が遅れたのが今回の事例であると思われる。

次のページ
ウイルス感染対応の「都市伝説」に要注意

この記事は参考になりましたか？

印刷用を表示

S&J三輪信雄のセキュリティニュースレター連載記事一覧: WannaCryは終わらない―パッチ未適用問題と閉鎖的ネットワークにおける対策

JTB子会社の発表にみる、「漏れたことがわからないから漏れてない」論の限界【追補】

もう「感染は避けられない」とか言わない！VDIによるマルウェア対策のいま

もっと読む

この記事の著者: 三輪信雄（ミワノブオ）

日本の情報セキュリティビジネスの先駆けとして事業を開始し、以降情報セキュリティ業界をリードしてきた。ITセキュリティだけでなく物理セキュリティについても知見があり、技術者から経営者目線まで広い視野を持つ。政府系委員も数多くこなし、各種表彰、著書・講演も多数。2009年から総務省CIO補佐官を務める。
Ｓ＆Ｊ株式会社代表取締役

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事