CSIRT小説「側線」 第10話:シンジケート(後編)CSIRT小説「側線」(2/3 ページ)

» 2018年10月19日 07時00分 公開
[笹木野ミドリITmedia]
Photo

 「弊社とそんなご縁があるとは知りませんでした。帰国したら小堀にも聞いてみます」

 鯉河はそういいながら会議室の椅子に腰を掛けた。

 ピエールとデーブを前に、鯉河が会議の口火を切る。

 「率直に申し上げます。今年の4月から弊社にて不審な攻撃と思われる事象を検知しております。ですが、犯人像が分からず難儀しています。同様の国内事例も幾つかは見つかったのですが、ひょっとしたらこちらでも情報をお持ちではないかと、ご訪問した次第です」

 「どのような事象でしょうか」

 デーブが尋ねる。

 鯉河は事象をプロジェクターに写しながら説明する。

 「最初に異変を感じたのは今年の春です。社内の多数の機器、PCだけではなく、複合機やカメラなどの機器からインターネットに向けて短い通信が多数観測されました。特に情報が漏えいしたり、PCなどが使えなくなったり、という弊害はなかったのですが、これが何を意味しているのか分かりませんでした。

 次に過負荷攻撃を受けたことがあります。これはわが社が新技術を発表するイベントの日のことです。これも実害といえるようなことにはならなかったのですが、攻撃内容としては、いたずら目的と意図的な攻撃が混在していると分析しています。意図的な攻撃元としてはロシアや米国が観測されていますが、そこも踏み台にされている可能性はあります。また、この過負荷攻撃が陽動作戦でこれとは別になにか仕掛けているのでは? という懸念もあったのですが、現時点ではその行動は観測されていません。

 ちなみに春先の短い通信先もロシア、米国です。そして最近のインシデントとしてメールからのフィッシングによる情報搾取です。非常に日本やわが社の実情を理解した巧妙なメールでした。技術情報を狙った、と思われます。これもデータの分散化を行っていることによって、ことなきを得ましたが」

 鯉河はプロジェクターの内容を変えて、犯人像の仮説を話しだす。

 「主に日本をターゲットとする犯罪者グループも調査しました。

 A:アジア地区を中心としてホテルのWi-Fiを利用して情報を搾取するグループ。研究開発や実験データなどを狙うようです。 

 B:オンラインゲーム企業を狙うグループ。ヨーロッパに化学関係の企業が標的になったこともあるようです。

 C:台湾や日本を狙って商社、石油などの企業を狙うグループ。標的型メールによる侵入が多く、航空会社のE-チケットを偽装した事件も有名です。

 D:資産管理ソフトの脆弱(ぜいじゃく)性を突いて侵入する技術力の高いグループ。重要インフラ業者、重要インフラ機器製造業者、テクノロジー産業をターゲットにしているようです。

 E:防衛関連企業をターゲットとするグループ。背後に中国政府がいるのでは、と推測されます。

 F:中国を拠点として製造業、ハイテク産業を標的とするグループ。

 最後にG:米国の企業への攻撃から最近は日本を狙ってきているグループ。ブラウザの脆弱性を悪用した水飲み場型攻撃(狙った相手が閲覧しそうなWebページに不正なコードを仕込んでおいて、そのページを見たユーザーを不正なサーバに誘導する手口)、アップデートのメカニズムを悪用した攻撃、ドメインを乗っ取るような高度なハッキング技を持っています。

 わが社はメタンハイドレードの商業化という技術を保有していますので、研究開発やハイテクを狙うグループのターゲットになる可能性があります。また、エネルギー勢力を変えてしまう可能性もありますので、石油、天然ガスの産出国に対してはインパクトが大きいです」

 デーブが汗を拭きながら質問する。

 「概要は分かりました。短い通信の案件や情報搾取案件で被害に遭った機器のデータフォレンジックはやってみましたか?」

 ――データフォレンジックとは、PCなどに残っている操作の形跡などを抽出し、分析する作業だ。また、訴訟を起こす場合に必要な証拠保全も大切な業務である。最近の高度なウイルスは自分の痕跡を削除しながら動作するタイプも多く、標準のログだけでは操作内容が追跡できないこともある。サイバーの世界では精密検査と診断であるが実世界では鑑識に相当する。

 鯉河が答える。

photo 識目豊:職人。インベスティゲーターとは警視庁時代からの旧友であり、さまざまなサイバー事案を共同で捜査した。犯人側の手口にも詳しい

 「やってみました。当社には識目(しきめ ゆたか)という優秀なフォレンジック担当がいるのですが、検査した結果、どうもブラウザのエクステンションに怪しいものがある、とにらんでいるようです。通常は普通のエクステンションとして動作をするのですが、ずっと潜んでいて何らかのタイミングでインターネット上からウイルスを引き込み、感染させるのではないかと推定しています」

 デーブが答える。

 「そのブラウザの件については最近、報告されています。同じものではないのかもしれませんが、ブラウザを乗っ取って個人情報を抜き取ったり、インストールしてしばらくたった後インターネット上からウイルスを引き込むというものです。しかも、これは正規プログラムにしか見えません」

 鯉河が質問する。

 「それは現在の機器類での検知は難しいということですか」

 「残念ながらそのようです。対策としては怪しいエクステンションは入れない、という基本的なところに収まります」

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ