CSIRT小説「側線」 第10話:シンジケート(後編):CSIRT小説「側線」(2/3 ページ)
機密情報漏えいの危機にさらされたひまわり海洋エネルギー。同じ手口のインシデントが海外でも起こっていることを知り、インベスティゲーターの鯉河平蔵は情報収集のためインターポールに向かう。情報を交わす中、犯行の手口や犯人像が浮かび上がってきた。
「弊社とそんなご縁があるとは知りませんでした。帰国したら小堀にも聞いてみます」
鯉河はそういいながら会議室の椅子に腰を掛けた。
ピエールとデーブを前に、鯉河が会議の口火を切る。
「率直に申し上げます。今年の4月から弊社にて不審な攻撃と思われる事象を検知しております。ですが、犯人像が分からず難儀しています。同様の国内事例も幾つかは見つかったのですが、ひょっとしたらこちらでも情報をお持ちではないかと、ご訪問した次第です」
「どのような事象でしょうか」
デーブが尋ねる。
鯉河は事象をプロジェクターに写しながら説明する。
「最初に異変を感じたのは今年の春です。社内の多数の機器、PCだけではなく、複合機やカメラなどの機器からインターネットに向けて短い通信が多数観測されました。特に情報が漏えいしたり、PCなどが使えなくなったり、という弊害はなかったのですが、これが何を意味しているのか分かりませんでした。
次に過負荷攻撃を受けたことがあります。これはわが社が新技術を発表するイベントの日のことです。これも実害といえるようなことにはならなかったのですが、攻撃内容としては、いたずら目的と意図的な攻撃が混在していると分析しています。意図的な攻撃元としてはロシアや米国が観測されていますが、そこも踏み台にされている可能性はあります。また、この過負荷攻撃が陽動作戦でこれとは別になにか仕掛けているのでは? という懸念もあったのですが、現時点ではその行動は観測されていません。
ちなみに春先の短い通信先もロシア、米国です。そして最近のインシデントとしてメールからのフィッシングによる情報搾取です。非常に日本やわが社の実情を理解した巧妙なメールでした。技術情報を狙った、と思われます。これもデータの分散化を行っていることによって、ことなきを得ましたが」
鯉河はプロジェクターの内容を変えて、犯人像の仮説を話しだす。
「主に日本をターゲットとする犯罪者グループも調査しました。
A:アジア地区を中心としてホテルのWi-Fiを利用して情報を搾取するグループ。研究開発や実験データなどを狙うようです。
B:オンラインゲーム企業を狙うグループ。ヨーロッパに化学関係の企業が標的になったこともあるようです。
C:台湾や日本を狙って商社、石油などの企業を狙うグループ。標的型メールによる侵入が多く、航空会社のE-チケットを偽装した事件も有名です。
D:資産管理ソフトの脆弱(ぜいじゃく)性を突いて侵入する技術力の高いグループ。重要インフラ業者、重要インフラ機器製造業者、テクノロジー産業をターゲットにしているようです。
E:防衛関連企業をターゲットとするグループ。背後に中国政府がいるのでは、と推測されます。
F:中国を拠点として製造業、ハイテク産業を標的とするグループ。
最後にG:米国の企業への攻撃から最近は日本を狙ってきているグループ。ブラウザの脆弱性を悪用した水飲み場型攻撃(狙った相手が閲覧しそうなWebページに不正なコードを仕込んでおいて、そのページを見たユーザーを不正なサーバに誘導する手口)、アップデートのメカニズムを悪用した攻撃、ドメインを乗っ取るような高度なハッキング技を持っています。
わが社はメタンハイドレードの商業化という技術を保有していますので、研究開発やハイテクを狙うグループのターゲットになる可能性があります。また、エネルギー勢力を変えてしまう可能性もありますので、石油、天然ガスの産出国に対してはインパクトが大きいです」
デーブが汗を拭きながら質問する。
「概要は分かりました。短い通信の案件や情報搾取案件で被害に遭った機器のデータフォレンジックはやってみましたか?」
――データフォレンジックとは、PCなどに残っている操作の形跡などを抽出し、分析する作業だ。また、訴訟を起こす場合に必要な証拠保全も大切な業務である。最近の高度なウイルスは自分の痕跡を削除しながら動作するタイプも多く、標準のログだけでは操作内容が追跡できないこともある。サイバーの世界では精密検査と診断であるが実世界では鑑識に相当する。
鯉河が答える。
「やってみました。当社には識目(しきめ ゆたか)という優秀なフォレンジック担当がいるのですが、検査した結果、どうもブラウザのエクステンションに怪しいものがある、とにらんでいるようです。通常は普通のエクステンションとして動作をするのですが、ずっと潜んでいて何らかのタイミングでインターネット上からウイルスを引き込み、感染させるのではないかと推定しています」
デーブが答える。
「そのブラウザの件については最近、報告されています。同じものではないのかもしれませんが、ブラウザを乗っ取って個人情報を抜き取ったり、インストールしてしばらくたった後インターネット上からウイルスを引き込むというものです。しかも、これは正規プログラムにしか見えません」
鯉河が質問する。
「それは現在の機器類での検知は難しいということですか」
「残念ながらそのようです。対策としては怪しいエクステンションは入れない、という基本的なところに収まります」
関連記事
- CSIRT小説「側線」 第9話:レジリエンス(後編)
「この製品さえ入れれば、御社のセキュリティは絶対に安全です!」「AIでどんな攻撃も防ぎます」――って、本当に確証はあるの? 前回の攻撃で、社内の防衛装置を無効化されてしまった「ひまわり海洋エネルギー」では、本当に有効なセキュリティ戦略を探そうと、道筋(みちすじ)がベンダーの営業担当に話を聞き始めた。ヒートアップする会話の焦点とは一体……? - CSIRT小説「側線」 第9話:レジリエンス(前編)
前回の攻撃で、ほとんどの防衛装置を無効化された「ひまわり海洋エネルギー」。あと少しで機密情報を失うところだった社内では、セキュリティシステムの見直しが始まる。それは、CSIRTのソリューションアナリスト、道筋(みちすじ)が新たな使命を与えられたことを意味していた……。 - CSIRT小説「側線」 第8話:全滅(後編)
本来防げるはずのウイルスが役員の端末に入り込み、機密情報を流出させていた――。メイたちCSIRTのセキュリティ防衛装置を「全滅」させた仕掛けとは。一方、CISOの小堀は、説明責任を果たそうとある行動に出る。 - CSIRT小説「側線」 第8話:全滅(前編)
「ひまわり海洋エネルギー」新生CSIRT結成から数カ月。ようやくインシデント対応に慣れ始めたチームに緊急事態の一報が入る。会社の幹部が所有する端末が繰り返していた“異常な通信”とは一体……? - CSIRT小説「側線」 第7話:協調領域(後編)
「従業員の心得」「コンプライアンス」「ハラスメント防止」――忙しい業務に加わる“講習三昧”に苦情の声をあげる社員たちに、一体どうすればセキュリティ教育を真剣に受けてもらえるの? 悩みぬくCSIRTの教育担当に、ベテランがくれたアドバイスとは。
Copyright © ITmedia, Inc. All Rights Reserved.