退社時間の直前、本師都明(ほんしつ メイ)や志路大河(しじ たいが)など、CSIRTメンバーへ一斉通報が見極から入る。
――複数のサーバにて認証エラー多発。アクセス元の不審な端末の一つは営業担当役員の端末。その端末からインターネット側に向けて何か送信している。
メイは即座に「この営業担当役員の端末が何者かに乗っ取られて、情報を搾取されているのではないか」と考え、CSIRTメンバーに連絡した。
「全員、すぐにインシデント対応部屋に集まって」
メイ、志路、見極、宣託(せんたく)かおる、道筋聡(みちすじ さとる)、懐柔善成(やわらぎ よしなり)、羽生(はぶ)つたえがインシデント対応部屋に集まった。深淵はSOCルームで調査を継続している。
「見極さん、SOC側の観測状況を説明してください」
メイが言う。
「異常発見のきっかけは、業務サーバへのログイン認証失敗の多発だ。SOCではセキュリティ機器の状況だけではなく、業務システムで利用しているサーバの異常検知状況も監視している。システム運用部門でも同様の監視はしているが、異常の発端はシステム障害なのかセキュリティインシデントなのか分からないことが多いからな」
見極が説明する観測内容を、宣託がホワイトボードに記録していく。皆は見極の説明を黙って聞いている。
「今回、何者かがある端末から業務サーバに対してアクセスを試み、ログイン認証で失敗している事象を多数観測した。調べてみたところ、その端末は営業担当役員のものだ。アクセス対象のサーバは、営業担当役員が普段アクセスするようなものではない。
さらに調べてみると、この端末からログイン認証に成功し、アクセスできたサーバもあることが分かった。そのサーバには、当社の重要情報のファイルが含まれている。現在、深淵が調べているが、この営業担当役員の端末とインターネット側で頻繁に通信が観測されている。現在分かっているのはこんなところだ。なお、毎年恒例の9月のキャンペーンとの因果関係はない」
聞いている誰もが、「うちの会社の重要情報が流出しているのではないか」という最悪の事態を想定した。
「その外部への通信は、今も続いているのですか?」
メイが見極に問う。
Copyright © ITmedia, Inc. All Rights Reserved.