Skip to content

セキュリティマガジン TREND PARK

標的型サイバー攻撃の裏付け、発見される

 ネットワークの監視中、PsExec.exeファイルが複数の端末に存在しているのを確認した佐藤は、A社○○氏に、業務上PsExec.exeファイルが使用されているかを尋ねました。

「日常の業務にこのファイルを使うことはありません」。

 ○○氏の言葉がほぼ決定打でした。

「間違いない。明らかに標的型サイバー攻撃のターゲットになっている」。

 そう確信した佐藤が裏付けを取るためさらに調査を進めたところ、ドメインコントローラーでパスワードクラックの痕跡が発見されました。Administrator権限が搾取され、攻撃者はA社のネットワークの中を自由に行動できる状態になっていたのです。今回のインシデントの発端となった端末からの不審な通信も攻撃者によるものと推察されます。佐藤はそう判断しました。

標的型サイバー攻撃の被害を広げないために


 これ以上標的型サイバー攻撃の被害が拡大するのを防ぐため、佐藤は今回検出されたバックドア型ウイルスに対応して作成したパターンファイルをネットワーク上の各端末に適用してウイルスの駆除を行ないました。同時に被害の範囲を把握するためにネットワーク内の状況を調査していた時です。ネットワークに接続していたサーバが次々にシャットダウンし再起動が不能になるという事態が起きたのです。

 攻撃者は、パターンファイルが適用されて外部からの攻撃によって作った攻撃拠点が次々につぶされて行くことに気づき、自らの攻撃手法を全て把握されてしまうことを恐れてシステムファイルを含めたファイルを削除しサーバをシャットダウンさせるという行動に出たのではないか、佐藤はそう推測し、対応策の実施を進めました。

 次に対応すべきは、Administrator権限を搾取されたことによる被害の防止です。佐藤は、次々に明らかになる攻撃の実態に肩を落とす○○氏にAdministrator権限が付与されたID、パスワードの変更を依頼しました。

 もちろん、最新のセキュリティパッチの適用やウイルスによる汚染の横展開の原因の一つとなるアクセス制御していない共有フォルダの無効化など一般的なセキュリティ対策も確実に実行し、被害の拡大防止に努めました。しかし、ここで大きな問題に直面します。Administrator権限が付与されているIDやパスワードの変更は子会社A社側では行うことができず、親会社のシステム管理者による運用となっており、変更による影響範囲を確定しない限りは、変更が出来ないという事態が判明したのです。ドメインの管理範囲がグループ会社全体であるため、当然のことながら、影響範囲を考慮すれば慎重にすべきですが、この瞬間も権限が不正に利用されている可能性があることを考えれば、緊急性を要する作業であることは明白でした。結局、影響範囲の確定から様々なシステム上の改修を実行した後、IDとパスワードが変更されるまで、かなりの時間がかかってしまいました。

 ウイルスによる攻撃など、外部からの脅威に対して「各々の会社のシステム担当者がどのようなステップで対応すべきか」というフローは準備されていたとのことでしたが、外部からの攻撃者にAdministrator 権限を搾取されるという事態までは想定されておらず、ドメイン管理を行なう別部署と連携する必要がある場合の対応フローなどは用意されていなかったのです。

対策の確認


 ○○氏を中心としたA 社セキュリティ担当者による、他部署および親会社・グループ会社まで巻き込んだ対応と、トレンドマイクロからのインシデント対応支援により、困難を極めた標的型サイバー攻撃の対策も、ようやく一定の効果を期待できるレベルまで達することができました。その効果を確認するため、佐藤は再びネットワーク監視ツールにより、ネットワーク上の通信の監視を行いました。一週間ほど定点観測を行なった結果、ネットワーク上、端末上で不審な動きは検出されませんでした。

 対策が効果を発揮し、現時点では標的型サイバー攻撃と思われる不審な動きは見られないことを確認した佐藤は、○○氏に状況を報告。作業を業務再開のフェーズへ、そして今後予想される脅威に対応するための対策と体制の整備へと進めていきました。

本稿は2013年4月に執筆した内容の一部を編集した記事です。

後編 これが標的型サイバー攻撃だ!(2)シナリオから見えて来た課題

記事公開日 : 2014.12.12

ページの先頭へ