• Facebookでこの記事をシェアする

技術・創造

外部に送られた謎のメールの送り主は……
~企業の「困った」を助ける「緊急対応支援」サービス~

2020.3.24

企業の情報システムは、さまざまな脅威にさらされている。十分なセキュリティ対策をとっているつもりでも、ときには思いもかけない事故や事件(インシデント)に巻き込まれることもある。
セキュリティ事業を20年近くにわたって手掛けているPFUは、インシデントに遭遇した企業向けに、「緊急対応支援」サービスを提供している。いわば、セキュリティ対策における119番、つまり駆け込み寺だ。同社でソフトサービス・ソリューション事業本部セキュリティサービス事業部プロフェッショナルサービス部部長を務める内藤久裕が、これまでPFUに寄せられたインシデントを振り返る。

ある日届いた不思議な通報

「お宅の会社から、変なメールが届いていますよ」
製造業のA社に、ある日こんなメールが送られてきた。しかも一件だけではない。外部の機関から、何通も似たようなメールが届いた。どうやら、同様のメールをあちこちに撒き散らしているようだ。A社はすぐに、同社の情報システムを担当するベンダーのB社に相談した。
B社は、A社のファイアーウォールのログを調査した。すると、怪しい動きをしている複数台の端末を特定することができた。
何かマルウェアを仕込まれたのかもしれない……。そう推測して、該当端末のウイルス対策ソフトを使って調べてみたのだが、マルウェアを発見することはできなかった。

「困ったな……」
A社から相談を寄せられて2週間ほど、B社は原因究明に奮闘した。だが、怪しい動きをする端末まではおおよそ特定できても、その端末のどのプログラムが悪さをしているのかまでは突き止めることができなかった。
これは手に負えないと、B社は情報セキュリティの専門家に相談することにした。PFUの「緊急対応支援」サービスを使って、いったい何が起きているのかを調べることにしたのだ。
「分かりました。すぐに現場へ伺います」
連絡を受けた内藤は、B社とともにA社のもとへと向かった。

企業にひっそりと忍び込んでいた未知のマルウェア

「きっと標的型攻撃だろう」
内藤は、B社との事前のやりとりで、そう当たりをつけていた。
標的型攻撃は、特定企業を狙って仕掛けるサイバー攻撃だ。仕掛けられるマルウェアは巧妙化していて、ひっそりと社内の情報を外部に送信していることもある。

ウイルス対策ソフトは、マルウェアの感染を予防するひとつの重要な手段ではあるが、完璧ではない。ウイルス対策ソフトメーカーは、過去に発見されたマルウェアをもとにパターンファイルをつくり、それと合致したマルウェアを検知する。パターンファイルは、要するに指名手配の顔写真である。ウイルス対策ソフトは、この「顔写真」をもとにしてマルウェアを探し出す。
だが、パターンファイルは、既知のマルウェアに対してしかつくられない。特定の企業を狙ってつくられたマルウェアは、一般的には知られていないため、パターンファイルには含まれていない。それゆえに、「未知のマルウェア」をウイルス対策ソフトで発見するのは困難なのだ。

そうした「未知のマルウェア」を発見するため、PFUでは、「緊急対応支援」の一環で、「デジタルフォレンジックサービス」を提供している。いうなれば、マルウェアを見つけるための不正の証拠探しだ。
内藤は、怪しい動きをする端末のハードディスクをまるごとコピーしてPFUに持ち帰り、端末のなかで何が起きていたのかを徹底的に調べた。その結果、不正な動きをするプログラムの存在を確認、さらにはその端末のほかにも、同じように感染している端末が何台かあることを突き止めた。

解析により分かったことはもうひとつある。内藤は次のように振り返る。
「実は、不正なメールが外部に送信されるかなり以前、3年ほど前から、感染端末には不正なプログラムが入り込んでいたことが分かりました。しかも、不正なプログラムは一種類だけでなく、三種類が確認できました。いずれも標的型攻撃で、そのお客様を狙ってつくられたマルウェアでした。一般的なウイルス対策ソフトでの検知は困難です」

ヒントは起動プログラムやファイル名にあり

なぜ、ウイルス対策ソフトで見つけられないマルウェアを、見つけることができるのか。
その答えは、ログの徹底的な解析だ。
「たとえば、パソコン起動時に自動起動するプログラムを確認します。通常はいくつかのプログラムが自動起動されますが、そのなかに不自然なものがないかを調べます。ファイル名もひとつのヒントです。いかにも怪しいファイル名が使われてないかどうかや、正しいプログラムと見せかけて動作するプログラムがないかなど、ログを丁寧に読み込んで徹底して調べます。一連のログ解析はすべて人の手で行います。解析者の経験値やスキルが物を言う作業です。20年近くセキュリティ事業を手掛けてきた当社の技術の蓄積が活きています」

さらに、感染は端末だけでなく、開発部門の機密情報を扱うファイルサーバーにも及んでいた。センシティブな情報であるため漏洩が懸念され、外部に送信された形跡があるかも調査対象になった。
不正プログラムが外部へ情報を送ろうとする際、サイズの大きなファイルを圧縮したり分割したり、特徴的な振る舞いが見られる。ログでその振る舞いの有無を調べることで、外部へのファイル送信があったかどうかを推定することができる。

マルウェアを丸裸にするリバースエンジニアリング

だが、センシティブな情報を扱う企業からは、より確度の高い回答を求められることがある。そういうときのためにあるのが、「マルウェア検体解析サービス」だ。
「ログから分かるのは、外部への情報送信の痕跡です。それが見つからなければ、『情報漏洩はなかった』と推定することができますが、100 %ではありません。プログラムそのものに情報を送信する機能がなければ、そもそも漏洩は起こりえません。近年は、情報システムを使えなくしたうえで、システム復旧の見返りに身代金を要求するランサムウェアも増えています。ランサムウェアには通信機能のないものもあります。感染したマルウェアの検体をリバースエンジニアリングして、マルウェアがどういう機能を持っているかを明らかにすることで、情報漏洩のリスクを精度よく算定することができます」
このときのインシデントでは、さまざまな解析を駆使した結果、情報漏洩はなさそうだということを突き止めた。

マルウェアの駆除もPFUが支援した。ウイルス対策ソフトメーカーにマルウェアの検体を提供、パターンファイルをつくってもらう依頼をした。
ここまでは、起きた出来事への一次対処だ。今後、類似のインシデントが起きないように、根本的な対策をとることも必要だ。PFUは、機密情報を扱うA社にとって、より安全なネットワークやシステムのあり方を、ベンダーB社と共同で検討して提案した。

PFUはこのように、インシデントに対応するセキュリティサービスを提供している。ログを徹底して解析し、ウイルス対策ソフトでは見つけられないマルウェアを発見する「デジタルフォレンジックサービス」と、リバースエンジニアリングによってマルウェアの機能を明らかにする「マルウェア検体解析サービス」。これらを組み合わせ、どのようなマルウェアに感染したかを突き止めるのだ。
企業の「いざ」というときの駆け込み寺として頼りにされるのは、20年に及ぶセキュリティ技術の蓄積があるからだ。