標的型攻撃は続いている――急ぐべき対応策は？（2/4 ページ）

[國谷武史，ITmedia]

Emdiviの影響は34組織（以上？）

JPCERT/CCの久保啓司氏

　セキュリティインシデント（事故）時に関係者間の対応を支援するJPCERT コーディネーションセンター（JPCERT/CC） インシデントレスポンスグループの久保啓司マネージャーによると、4月1日から6月23日まででJPCERT/CCが調整中のインシデントは2479件あり、このうち61件が標的型攻撃に関するものとなる。

　JPCERT/CCは、年金機構などを攻撃している攻撃者（グループの可能性も）が使用したとみられるウイルス「Emdivi」（類似ウイルスを含む総称）に感染したり、この攻撃者に踏み台にされたコンピュータを保有したりしている34の組織に対して、被害調査などの対応を依頼中だ

　久保氏によれば、JPCERT/CCでは2年前から「Emdivi」関連の攻撃を調査している。「この攻撃者、非常に凝ったなりすましメールを使うのが特徴。細工した実行形式（拡張子が.exeなど）の圧縮ファイルを添付して送り付けるだけでなく、特定の組織に対しては相手とメールでやり取りをしながらウイルスを送り付ける」（久保氏）

　さらに攻撃者は、標的の組織で「Emdivi」の感染に成功すると、直ちに「Emdivi」に感染したコンピュータを遠隔操作して、他に感染させられるコンピュータや機密情報の保存場所など探し出す。標的にされた組織の内部でウイルスの二次感染が起きるなど、被害が拡大するのも特徴だという。

　JPCERT/CCは、標的型攻撃等の際にウイルスなどによる不正な通信の発信元のIPアドレスを把握し、そのIPアドレスの利用を登録（Whoisというサービス）している個人や組織の連絡先（メールアドレス）へ、不正な通信が観測されたことを伝え、実際に通信が行われた時期やウイルス感染の有無などの調査対応を依頼する。

JPCERT/CCから連絡する場合のメール例

　JPCERT/CCから連絡が来た際の対応は、（1）不正な通信を行った端末の特定、（2）特定した端末の保全措置――がまず優先される。端末の保全は調査に不可欠で、特定された段階での端末の状態を可能な限り維持する。例えば、保全前に端末でウイルススキャンをしてしまうと、セキュリティソフトによってファイルにアクセスした日時などの記録（ログ）が書き変わってしまい、調査に使えない場合があるからだ。

　久保氏によれば、「Emdivi」関連の一連の攻撃では、組織内のユーザー権限や認証情報を管理するActive Directory（AD）などのシステムや、業務データを保存しているファイルサーバなどが侵害されるケースも多い。特にユーザーの認証情報が攻撃者の手に渡ると、多数のシステムに不正アクセスが行われ、深刻な被害が起こりかねないという。

　「ネットの遮断は被害を食い止められるが、外部と連絡できなくなる場合もあり、事業継続なども加味して判断していただきたい。復旧では被害の再発に備えて監視を徹底し、慎重に作業を進めてほしい」（久保氏）