PR

 インターネットイニシアティブ(IIJ)は2018年7月27日、報道関係者向けにセキュリティ勉強会を開いた。全く気付かれることなくPC内部のファイルを盗み出せる手口を実演し、サイバー攻撃の脅威を改めて訴えた。

 勉強会は記者1人ひとりに配られたPCが標的型攻撃で侵害されるというシナリオで進んだ。メールソフトを起動すると、Wordの文書を添付したメールが届いている。件名は「鈴木会長の真実」。記者にとってつい開きたくなるような件名だ。

 Word文書にはマクロを悪用したマルウエアが仕込まれており、開くと画面上部に「マクロを無効にした」という警告を表示する。ここで隣の「コンテンツの有効化」というボタンをクリックすると感染してしまう。「マクロを無効にする」のは感染を防ぐ有効な対策だが、印刷などのために有効にするケースもある。

攻撃者の画面からはGUIで侵入したパソコン上のファイルをコピーできる
攻撃者の画面からはGUIで侵入したパソコン上のファイルをコピーできる
[画像のクリックで拡大表示]

 感染したマルウエアはPCを隔操作できるRAT(Remote Administration Tool)と呼ばれるタイプだった。デモでは攻撃者に模した登壇者が記者に配られたPCの各種ソフトをネットワーク越しに自在に操作してみせた。

 中でも脅威だったのはファイルの盗難だった。登壇者は侵入したPCと手元のPCの両方を表示するファイラーを使い、侵入したPCにあるファイルを手元のPCにドラッグするだけでコピーした。その間、侵入されたPCの画面は何も変化がなく、背後で盗み出されているとは全く気付けなかった。

 勉強会では感染に気付いた後のインシデント対応についてもデモをした。具体的には「PCに残った証拠の保全」「自動起動するスタートアッププログラムの確認」「ログ情報などによる怪しいファイルの特定」という流れで、被害の範囲や原因を特定した。

脅威を検知した場合はパソコンのログを分析して原因や影響を調査していく
脅威を検知した場合はパソコンのログを分析して原因や影響を調査していく
[画像のクリックで拡大表示]