CSIRT小説「側線」 第8話:全滅(後編)CSIRT小説「側線」(1/5 ページ)

本来防げるはずのウイルスが役員の端末に入り込み、機密情報を流出させていた――。メイたちCSIRTのセキュリティ防衛装置を「全滅」させた仕掛けとは。一方、CISOの小堀は、説明責任を果たそうとある行動に出る。

» 2018年09月21日 07時00分 公開
[笹木野ミドリITmedia]
Photo

この物語は

一般社会で重要性が認識されつつある一方で、その具体的な役割があまり知られていない組織内インシデント対応チーム「CSIRT(Computer Security Incident Response Team)」。その活動実態を、小説の形で紹介します。コンセプトは、「セキュリティ防衛はスーパーマンがいないとできない」という誤解を解き、「日本人が得意とする、チームワークで解決する」というもの。読み進めていくうちに、セキュリティの知識も身に付きます


前回までは

「ひまわり海洋エネルギー」新生CSIRT結成から数カ月。インシデント対応に慣れ始めたチームに緊急事態の一報が入る。会社の幹部が所有する端末が、技術関連の機密情報が入ったサーバに侵入し、外部と通信を繰り返していたのだ。「機密情報の漏えい」という最悪の事態を想定したチームは、事態の収拾に動き出す。同時にCISOの小堀も、企業としての責任ある対応に頭を悩ませていた……

これまでのお話はこちらから


@インシデント対応部屋

Photo 深淵大武:人との会話は苦手でログをこよなく愛する。キュレーターを信頼している。一人で仕事をしていることが多く、寝ない。ディープダイバー。情報も海も。沖縄の海が大好き

 テレビ電話でつながった先、SOC(セキュリティオペレーションセンター)にいる深淵大武(しんえん だいぶ)からの続報をもとに、宣託(せんたく)かおるが状況をホワイトボードに記録している。

 テレビ電話の向こうから、深淵が解説を続ける。

 「現在の調査状況。まず、被疑端末からインターネット外部へのアクセスだが、3パターン観測されている。

 1は現在も続いており、同じ大きさのデータの通信を繰り返している。2も継続中だが、あまり大きくないデータの通信が繰り返し行われている。データの大きさはばらばらだ。何の情報がやりとりされているかは、通信が暗号化されているため、分からない。唯一分かるのは通信先だが、大学と普通のショッピングサイトというところまで判明している。3だが、今回のインシデントが発見される前に、被疑端末がインターネット上から3つのバイナリファイルをダウンロードしていたことが分かった。一つ一つは実行できる形式のプログラムではない。

 ここからは推測だが、1については当社の何かしらのファイルを一定サイズに分割してどこかに送信している――つまり情報を抜きとっている最中と考えられる。2については、遠隔操作の指令の通信だと考えられる。3は、恐らく何らかの手段で被疑端末に入れた遠隔操作用のプログラム類だと考えられる」

 見極竜雄(みきわめ たつお)が言う。

 「よし、ならばまずは情報を流出させているとみられるその通信を遮断しよう。しかし、敵の動向をもう少し観察したいので、遠隔操作の指令通信については遮断するな。少し泳がせてみよう。現在遠隔操作を行っている端末から、他の端末に乗り移るかもしれない。それが分かれば、相手が遠隔操作できる端末をあらかじめ何台用意していたのか裏付けが取れる。引き続き観測してくれ」

Photo 志路大河:元システム運用統括。システム運用というブラックな世界をITIL導入によってシステマチックに変革した実績を持つ。CSIRTに異動となった時に、部下のインシデントハンドラーを引き連れて来た。修羅場をいくつも経験した肝が据わった苦労人。CSIRT全体統括を補佐し、陰ながら支える。相棒のキュレーターを信頼している。インシデント対応の虎と呼ばれる

 続けて志路大河(しじ たいが)が解説する。

 「調べていて分かったことが3点ある。まず1点目、影響調査だが、被疑端末がアクセスを試みた多くのサーバのうち、アクセスに成功したサーバは2台だ。その内1台は技術情報を含むサーバだ。もう1台のサーバには機密情報は含まれていない。技術情報を含むサーバの内部では、不審なファイルが作成されていた。ウイルスは見つかっていない。ここから分かることは、敵がこのサーバに潜り込み、何らかの手段で技術情報を抽出し、専用のファイルを作成した上で、それを外部に送信している可能性があるということだ。その不審なファイルは、データを圧縮したrar形式で作成されている。これは特徴的だな。

 2点目は、他に侵害されている端末がないかということだが、深淵が見つけていた正式だが不審なサイト3件にアクセスしている端末を、新たに3台特定した。これを調べた結果、見つかった3台はいずれも被疑端末とは別で、新たに侵害されたものと思われる。現在は、新たに特定された端末から深淵が既に見つけたサイト以外の不審なサイトにアクセスがないかどうかを調べているところだ。敵が攻撃用に準備したサイトが3つだけとは限らないからな。同時に、この3台が社内のサーバに不正に侵入した形跡がないかどうかも調べている。

 3点目は、感染ルートの確認。先ほど深淵から話があったように、今回の発見以前に、被疑端末に侵入したと思われる感染源の特定だ。善(ぜん)さんがメール運用担当のシステム部と交渉して、被疑端末のメールの履歴を確認した。結果、少し前に被疑端末から疑わしいメールが開かれており、文中のリンクがクリックされていた。メールのタイトルは『AIを活用したビジネス展望について』だ。営業担当であれば、開いても仕方ないメールだろう」

 本師都明(ほんしつ メイ)が、すかさず疑問を挟んだ。

       1|2|3|4|5 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ