社長へのメールを秘書が開いてマルウェアに感染!? 標的型攻撃の実践演習「サイバークエスト」を模擬体験：ITmedia エンタープライズ セキュリティセミナーレポート（2/2 ページ）

[高橋睦美，ITmedia]

金融ISAC レッドチームの奏美鳴氏

　二宮氏は「ファイルを開いてしまうのは仕方ないとして、すぐに情報システム部に電話してくれるまでは正しい対応だと思う。後は万全を期して、端末のLAN接続を遮断する」とコメントしたが、すかさず鎌田氏が「仮想環境でLANポートがなければどうする？」と指摘を入れていた。

　この添付ファイルの正体は、いわゆるファイルレスマルウェアだ。「ファイルが開かれたのを契機にPCに居座り、さまざまな脆弱（ぜいじゃく）性を探ったり、強い権限を持っているアカウントを見つけ、それを用いて侵害を広げようとする」（金融ISACの奏美鳴氏）。このシナリオでは、秘書のPCを踏み台にして高い権限のアカウントを見つけ、ドメイン管理者権限までも取得。さらに遠隔操作を行い、PCやファイル内の機密情報、プライベートな情報までも外に持ち出していた。

犯罪者が動画サイトで情報流出を宣言！　あなたならどうする？

　続く場面では、犯罪者が情報を盗み出したことを動画共有サイトで公表。情報システム部門すら事態を把握できない中、どう対処するのがベターかを検討した。

　まずは「事実関係が本当かどうかを社長に確認し、原因を特定しなければ」（二宮氏）、また「こうした動画が公開された時点で、会社として対応する必要がある。広報などに連絡するとともに、動画共有サイトに連絡して取り下げ依頼を出すのが第一歩」（田中氏）という。

犯罪者が動画サイトで情報流出を公表した場面

　こうして調査を進めた結果、いよいよ情報流出が確認されたのであれば「覚悟を決めるしかない。何が流出したかを特定し、記者会見を行って謝るべきものは謝るしかない」（二宮氏）。また田中氏は「今も情報が流出し続けているのか、あるいは追加で情報が流出し得る状態なのかを確認し、追加流出の可能性があれば、それを食い止めることが必要だ」と指摘した。

　不正アクセスの内容にもよるが、状況によっては、企業のインターネット接続を遮断するか否かの判断を迫られる可能性もある。これに対し田中氏は、「インターネット接続を止めた際にどれだけ大きな被害が出るか、それは被害に遭っている企業の業態にもよる。いずれにせよまずは、どのようにして情報が流出したのかを確認してから」とした。

シティグループ証券 シティバンク、エヌ・エイ東京支店 事務システム企画部 情報セキュリティ管理室 アシスタントバイスプレジデントの田中智樹氏

　最後は記者会見の場だ。二宮氏はその目的を「お客さまを始めとする、ステークホルダーに事実をきちんと説明すること」だと説明し、その際には「必ずしも技術に詳しい人ばかりではないため、用語には気を付けて説明しなければならないだろう」と述べた。田中氏は、「広報や監督官庁への窓口になる人とも連携し、サポートすべく、事実を簡潔にまとめておくことが大事」と言う。

　サイバークエストでは、こうしたインシデントが同時並行的に押し寄せることになるが、1つの事案をなぞるだけでも、いろいろと検討すべき事柄が出てくる。

　「いろんな部署を巻き込み、『こんな場合はどうするか』と予行演習をしておくといいのでは」と二宮氏。田中氏も「有事の際に、ネットワークを止めるかどうかといった、ビジネスインパクトを伴う意思決定を迫られることがある、という認識を持たないビジネスリーダーも多い。そのような決断を強いられる可能性があることを知ってもらうためにも、こういった演習は必要だ」と述べ、その意義を強調した。