CSIRT小説「側線」 第8話:全滅(後編)CSIRT小説「側線」(4/5 ページ)

» 2018年09月21日 07時00分 公開
[笹木野ミドリITmedia]

@インシデント対応部屋

Photo 栄喜陽潤:インシデントマネジャーの志路大河に引っ張られてCSIRTに加入。志路を神とあがめる。沖縄県出身。イケメン

 皆が集まっている。小堀もCISO室から駆け付けた。

 メイの仕切りで、深淵が解説を始める。

 「侵害のメカニズムが分かりました。まず感染経路ですが、先ほど説明がありましたように、メールからです。メールをクリックすると、ウイルスが置いてあるサイトからウイルスをダウンロードする仕組みです。社員の出勤時間に合わせてリンク先のサイトの内容を入れ替えることで、メールの防御システムを無効化していました。

 次に、そのサイトに置いてあるウイルスのダウンロードですが、当社では、不審なプログラムがインターネットからダウンロードされるのを防ぐため、端末にファイルが着信する前にネットワーク上の仮想環境でそのファイルを実行し、ウイルスかどうかを判定しています。しかし、今回のケースではウイルスのファイルを3つに分割してダウンロードさせています。つまり、一つ一つは仮想環境で実行できるファイルではないため、この不審なプログラムをチェックする防衛機能が無効化されていたのです。

 あとは端末側ですが、ダウンロードされた3つのファイルは端末で合体されてプログラムとなります。このプログラムも独自に動くわけではなく、OSの正規プログラムの単なるパラメーターとして動くため、端末側ではウイルスプログラムと認識しません。つまり、端末のエンドポイント側での防衛機能も無効化されています。

 最後に、窃取されたファイルの送信およびリモート操作についてです。わが社のシステムには、通信先が不審なサイトであった場合、通信を遮断する機能があります。しかし今回、ファイルの送り先は正規のサイトを改ざんした場所に指定してあり、ブラックリストに登録されていないため、そこへの通信を遮断できません。つまり、不審なサイトへの通信遮断機能も無効化されています。通信内容は暗号化されているため、通信内容の怪しい振る舞いを検知することによって通信を遮断する防御機能も、無効化されています」

 メイが思わず口走る。

 「全滅じゃないの……」


 志路が割って入る。

 「こちら側も調査が終わった。結局、被疑端末は4台だった。また、不審なサイトも4件で収束している。今のところはな。それらの端末からのアクセス先も、当初のサーバ以外には見つかっていない。プログラムの配布サーバなども確認したが、大丈夫だ。ここがやられるとウイルスを正式なルートで配布され、ばらまかれるからな。昔他国で事例があって、その時は公共機関が全滅したらしい。かなりヤバいことになる。

 それと、敵の常とう手段である認証サーバへの侵入だが、侵入は試みていたが全て失敗していた。ここもやられると従業員の全てのアカウントを取られるからな。この状況から見て、新たに見つかった3台は、最初の1台が遠隔操作に使えないときのために敵が用意したバックアップだと思う。また、後で見つかったサイトも、敵が本来用意したサイトが使えなかった場合のバックアップだろう。なかなか用意周到だ。

 これらのバックアップと思われる端末の利用履歴だが、見極が最初にデータ送信先だけ遮断して遠隔通信は泳がせるための作業をしてから現在まで、端末側へのアクセスはなかった」

photo 道筋聡:企画・開発部門から異動して来た。PMやMBAなどの資格を持ち、プライドが高い。元の部門ではエースの名を保持していたが、なぜ自分がCSIRTに配属されてきたのか疑問に思っている

 深淵が言う。

 「その件ですが、データ通信先を遮断したあと、遠隔操作サイトは少しの間生きていたのですが、間もなくインターネット上から姿を消しました。恐らく、こちらが調査していることに気付いて、バックアップを使うことなく撤退したのでしょう」

 そこへ、道筋聡(みちすじ さとる)が唐突に話し始める。

 「皆さんに重要なお知らせがあります。わが社に導入したセキュリティ防衛装置が今回はことごとく無効化されていますが、最後の一線があります。侵入されてデータを窃取されたサーバですが、ここには重要な技術情報があるため、秘密分散技術を使っています」

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ