平原伸昭/トレンドマイクロ スレットモニタリングセンター

 ウイルスなどの不正プログラムに大規模に感染するなど,企業に深刻なセキュリティ・インシデントが発生した場合,現場の苦労は想像を絶するものがある。

 以前の特集記事「脅威,すべてはWebアクセスから始まる」でも取り上げたが,今では特定団体,企業または特定のプロファイルを持った集合体への局所的な攻撃が主流である(表1)。また,攻撃に使用される不正プログラムはユーザーに気付かれないように静かに活動を行い,金銭や機密情報の収集を目的としている。そのため今日では,セキュリティ・インシデントの被害事例が表に出ることは,まれになってきており,ある企業で被害を及ぼしている不正プログラムの侵入方法や感染活動を,他のユーザーがリアルタイムで知ることは困難だ。

表1●ウイルス感染被害報告件数年間総計と上位10種の占有率の推移(2001年~2007年)
上位10種の占有率が小さくなり続けていることから,被害の分散化が伺える。
表1●ウイルス感染被害報告件数年間総計と上位10種の占有率の推移(2001年~2007年)

 企業の管理者は,自らが管理するネットワークに不正プログラムが実際に侵入し,被害を及ぼされて初めてその怖さを知ることになる。

 そこでこの特集では,筆者が法人顧客のサポート・エンジニアとして経験した数多くの実例の中から,企業ネットワークで実際に発生したある事例について,時系列に従い,その時々でシステム管理者とセキュリティ・ベンダーのサポート・チームが試行錯誤で行った現場の対処を紹介する。これを基にセキュリティ・インシデント時にシステム管理者がどのように対応すれば,被害を最小限に抑え,迅速に復旧できるのかを解説したい。

 では,被害企業から第一報を受けるシーンから始めよう。



 「A社で,大量のマシンが何らかの不正プログラムに感染したようです!!緊急を要するため早急に対応してもらえませんか」

 携帯電話の向こうで,営業担当のT氏が切迫した声で訴えてきた。2006年の12月下旬,新宿サザンテラスのイルミネーションが綺麗に街を彩り,街行く人もいつもより着飾っているように見えた夜。時刻は午後7時を過ぎ,帰り支度をしかけた矢先の緊急連絡だ。

 「ひとまずA社の状況を確認するため,すぐに管理者のM氏に連絡します」

 営業のT氏の声から,A社がかなり緊迫した状況に陥っていることが伝わってきた。しかし具体的にどのようなインシデントが発生しているのかは,直接聞かなければならない。A社は,従業員規模3000人を超える大手食品メーカー。24時間365日の対応を含む,有償プレミアムサポートサービス契約を結んでいた。

 「トレンドマイクロサポートセンターの平原です。貴社のネットワークで何が起こっているのですか」

 M氏に確認したところ,いくつかの業務アプリケーションにおいて起動不可になるアプリケーションや,起動はするが途中でエラー・メッセージが表示されて終了してしまうアプリケーションがあるという。これらの報告が多数の社員からA社のヘルプデスクに集まっているとのことだった。

 この時点でM氏が把握しているものだけでも,トラブルが発生しているコンピュータは数百台に上っており,その数は時間の経過とともに次第に増加している。

 業務アプリケーションやシステムの変更は,直近の1週間では行われていないことからシステムの不具合ではなく,外部から侵入した不正プログラムのしわざではないかと推測しているとのことだ。しかしながら,肝心の不正プログラム自体を特定できていない。このため,原因が特定できるまでの暫定処置として,工場とオフィスのイントラネット回線を遮断する措置をとっていた。

 食品メーカーのA社にとって,クリスマス・シーズンや年末年始はまさに繁盛記。それを前に,工場を封鎖するという,ビジネスに深刻な影響を及ぼす事態となっていた。

 「今夜はまだ帰れないぞ」

 帰り支度で仕舞いかけたノートPCを再び開き,私は臨戦態勢に入った。

24時間365日の対応が可能か,事前にサポート契約の再確認を

 今回紹介するインシデント対応の前提として,システム管理者が平常時はつい忘れがちなセキュリティにかかわるシステム・インテグレータやメーカーとのサポート契約について簡単に触れたい。

 A社は,セキュリティ・インシデント時に昼夜を問わず,24時間365日でトレンドマイクロに問い合わせできるサポート契約を結んでいた。通常は製品のライセンス料金の中にサポート・サービスが含まれていることが多いが,電話やメールといった問い合わせの手段,時間,サービス・レベルにいくつかの制限が設けられているケースがある。自社で契約しているサポート内容を改めて確認するとともに,24時間365日のサポートでない場合には,夜間または休日にインシデントが発生した場合にはどう対応するかのシミュレーションをしておくことをお勧めする。

 また,緊急時に契約を切り替えてサポート範囲を拡大することができる場合もある。それが可能か,そのためには何が必要なのかを,あらかじめインテグレータやベンダーに確認しておくことも重要だ。

 セキュリティ・インシデントは何時に起こるかわからないうえ,通常業務への影響を最小限にするには,システム管理部門にはビジネスタイム外での対応が求められるケースも少なくない。24時間365日対応をあらかじめ想定しておくことで,長期連休中や土日を挟んだ場合にも,大きな対応遅れが発生する危険を回避できる。

 「まずはプロキシとDNSのログを確認いただけますか。不審なWebアクセスがあった場合には,該当のURLへの接続をブロックする処置をお願いします。さらに,不正プログラムのファイルを特定するためにSIC(シック)ツールで感染マシンのログを採取して私に送ってください」

 A社の管理者M氏との最初の電話でこう話し,初期対応をお願いした。