SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

S&J三輪信雄のセキュリティ ニュースレター

年金情報漏えい報道から、いくつかの考察―その時、どうすればよかったのか?


 今回は、年金情報の漏えいについての報道から、いくつか考察してみたいと思う。今回の漏えいでは、様々な観点で参考にするべきポイントがある。様々な批判や指摘がされているところではあるが、実際のところ、多くの企業や組織で同じような状況が繰り返されている。

どう対応すればよかったのか?

 まず、報道発表が遅い、という批判が多いが、感染が5月8日であるとすると、3週間程度での発表となり、標的型攻撃の報道発表の中では「早い」部類になる。

 一方、1台目の感染が確認されたのちに「注意喚起」を行ったものの、複数台が感染した、と報道されていることは残念なポイントである。その後の調査で今回の被害が判明することになる。

 報道では、感染後の対処がどのようなものであったか、どのようなセキュリティシステムが機能していたのか、についてはほとんど触れられていないので、ここでは、本来行うべきであった対応について考察してみたい。

 標的型攻撃によってマルウェアに感染したことは、多くの場合「添付ファイルが正常に表示できない」「身に覚えのない内容」であることでユーザ自身が気づくことができる。このことは、セキュリティ教育でも取り入れるべきである。しかしながら、しっかりと作りこまれたメールである場合には、それでも気づかないことがあることは留意しなければいけない。

 感染したことが分かった場合、または、感染したかもしれない、と思った場合には、まず、ネットワークから切り離すべきである。例えば、ネットワークスイッチで遠隔で隔離する方法も考えられる。しかし、メモリダンプが取得できる状況にある場合においては、ネットワークを切断せずにメモリダンプを取得してからスリープにすることも考えられる。ネットワークを切断すると、マルウェアが自分自身を消去してしまうことがあるので、ネットワークを切断しない方がいいという考え方もある。

 どちらを選択するか?

 フォレンジックを優先するならメモリダンプを取得したいところだが、情報漏えいを少しでも防ぐ、という観点であれば、ネットワークや電源の切断が優先されるだろう。これはCSIRTの考え方次第である。

 そして、隔離したPCのフォレンジックを行うべきである。メールの添付ファイルをウイルスワクチンベンダーに提供して、調査してもらったりパターンファイルを作ってもらい、それを全PCに適用する、という対応をすることも多いと思われるが、開いてしまった後では、対応が異なる。

 なぜなら、感染した後には、複数の「仲間」がダウンロードされてくるからである。その「仲間」が本当のマルウェアであり、様々な活動を行う。従って、最初の添付ファイルは、単純に本体をダウンロードして実行するためのものにしか過ぎないうえに、同じものが他で使われることは少ない。

 従って、フォレンジックによって、複数の「仲間」を探し出す必要があるのだ。その「仲間」は、感染が広がった場合に他のPCからも見つかることが多いので、感染範囲の推定と被害拡大防止に役立つ。注意すべきなのは、こうした「仲間」はウイルスワクチンベンダーではパターンファイルを作成してくれないこともある、ということだ。S&Jではこうした事例でも対応している。

 PCのフォレンジックと同時に行わなければならないのは、ログ分析である。特にプロキシやファイアウォール、ADは必須である。今回の場合、共有ファイルサーバも対象になる。ログ分析は、普段から収集、分析のできるシステムと体制が欠かせない。SOC(Security Operation Center)に欠かせない機能で、高速にログを取り込み、様々な角度から分析ができることが求められる。このログ分析システムがあれば、感染したPCが通信した通信量や通信先が特定され、他の感染PCの探索に非常に有用となる。

 今回の場合、ログの分析が行われたかどうかは報道されていないが、外部との通信が確認された時点でCSIRTとしては「緊急事態」となり、状況次第では、現在行われている「インターネット遮断」を決断できたはずだ。そうすれば被害の拡大は防げたと思われる。

 また、気になるのは「メールの漏えい元」と「メールアドレスの漏えい元」である。標的型攻撃に使われるメールは、多くの場合、実際のメールが使われることが多い。つまり、他に感染したPCがあり、そのPCからメールが盗み出されて悪用されることが多いのだ。「メールの漏えい元」を突き止めるのは困難な場合が多いが、特定の組織が想定される場合には、注意喚起や調査依頼をするべきである。他の組織へも攻撃を行っているかもしれないうえに、さらに他の組織で感染が広がる可能性があるからである。

 今回のようなケースの場合、メールサーバのログも調査するべきである。送られてきたメールが、存在しないメールアドレスに大量に送られてきたのか、そうでないのかによって、対応が異なる。相手がメールアドレスを知っていたと思われる場合には、「すでにメールアドレスが漏えいしている」ということになるからだ。これまでに対応してきた事案の多くで、「すでにメールアドレスが漏えいしている」と思われることが多かった。

 つまり、すでに何度も攻撃を受けていて、その過程でメールアドレスや職員名簿が盗まれていた、ということだ。攻撃者は、国家的な組織であることがあるので、その場合、職員名簿はターゲットとして優先順位が高いと思われる。従って、メールアドレスが持ち出されていた、と推測される場合には、他の情報もすでに持ち出されていた、と推測されるのだ。

 すでに何度も侵入を許してしまっていたかどうかを確認するためには、最低でも1年、できれば3~5年のログをさかのぼって、不審な活動が内部ネットワークで行われていないのかを分析する必要が生じる。そのためにも、中長期のログの保存と分析のシステム、体制が必要になる。

 これらを最初のマルウェア感染の時点から即座に対応するべきなのであるが、いずれかの対応が遅れたのが今回の事例であると思われる。

次のページ
ウイルス感染対応の「都市伝説」に要注意

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
S&J三輪信雄のセキュリティ ニュースレター連載記事一覧

もっと読む

この記事の著者

三輪 信雄(ミワ ノブオ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6889 2015/06/03 13:45

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング