当社のウィルス侵害史:
実録・防御の教訓
「防御の歴史」は「侵害の歴史」でもあります。
過去の事案を直視し、敵(マルウェア)の正体を知り、砦を死守せよ。
Malware Classification
マルウェアの分類と概念図
マルウェア(Malware)
悪意のあるソフトウェアの総称
Grey Tools
アドウェア
強制的な広告表示。
Scareware
ミスリーディング
偽警告で騙す手法。
トロイの木馬
有益なソフトを装い、ユーザー自身に実行させる。裏で情報を盗んだり破壊活動を行う。
ワーム
宿主を必要とせず、ネットワークを通じて単体で増殖・拡散する。伝染スピードが速い。
ランサムウェア
ファイルを勝手に暗号化し身代金を要求する。実行されるまで正体を隠す「潜伏」が基本。
ファイル感染型
実行ファイルの一部に寄生。ファイルが実行されるたびに感染を広げる古典的な手法。
マクロウィルス
Office製品のマクロ機能を悪用。ファイルを開くだけで感染し、周囲へ拡散する。
スパイウェア
閲覧履歴などを密かに収集し外部送信する。目立たないよう「潜伏」することに特化。
バックドア
攻撃者が再侵入できるよう設置する「裏口」。脆弱性を突いて設置されることが多い。
ルートキット
OSの深い部分に居座り、自らの存在やログを隠蔽する。発見が極めて困難なツール群。
Infection Methodology
主な感染・攻撃手法
ドライブバイダウンロード攻撃
Webサイトを閲覧しただけで、気づかれずにマルウェアを実行させる。脆弱性を悪用した手法。
閲覧のみで感染水飲み場型攻撃
ターゲットが頻繁にアクセスする正規サイトを改ざんし、待ち伏せして感染させる標的型攻撃。
特定組織を標的フィッシング / 標的型メール
偽メールで添付ファイルを開かせたり、不正サイトへ誘導する。心理的脆弱性を突く極めて強力な手法。
ソーシャルエンジニアリング外部記憶媒体経由
USBメモリ等を接続した際の自動実行機能を悪用。物理的な接続を通じてオフライン環境でも侵害可能。
物理的接触による感染Historical Incidents
当社における侵害の実録
The Mass Mail Outbreak
大量メール不正送信事案
社内PCが感染し、外部へ大量の迷惑メールを送信。クラウド型メールサービス導入の大きな契機となりました。
Bangkok Multi-Infection
海外拠点・大規模マルウェア侵食
バンコク拠点の30台中12台に感染。検出リストにはZeusやSomotoなど、情報の窃取や広告の強制表示を目的とした多様なマルウェアが含まれていました。
Toyama Ransomware
ファイルサーバ暗号化被害
富山BPOにてランサムウェア感染が発生し一部ファイルが暗号化されました。定期バックアップを適切に取得していたため、データからの完全復元により致命的な損失を回避しました。
Blue Screen Meltdown
防御なき拠点、9割のPCが沈黙
拠点の90%のPCでブルースクリーンが発生。対策ソフト未導入・WindowsUpdate未実施という「防御ゼロ」の状態であったため、詳細な原因特定すら困難な致命的状況に陥りました。
Fake Driver Infection
偽ドライバを起点とした組織的侵食
メーカーのドライバに似せた偽ソフトを実行し感染。拡散用の中継フォルダが作成されるなど、ネットワーク全体を狙った攻撃が展開されました。
Public Web Server Hijack
警察庁指摘:サイバー攻撃集団による悪用
警察庁より「公開Webサーバがサイバー攻撃集団のC2サーバ(司令塔)として利用されている」との連絡があり発覚。b374kウェブシェル等のバックドアが巧妙に配置されていました。
Macro Contagion
Officeファイルマクロ拡散
マクロが自己増殖しながら周囲を感染。「不審なファイルは不用意に開かない」基本動作の徹底を再認識させた事案。
Knowledge Check
ITパスポート試験:過去問演習
ランサムウェアに関する記述として,最も適切なものはどれか。
ランサムウェア(Ransom=身代金)は、データを人質に取る手法です。
PCでWebサイトを閲覧しただけで,PCにウイルスなどを感染させる攻撃はどれか。
ドライブバイダウンロードは、閲覧だけで攻撃が成立する手法です。
ウイルスの感染に関する記述のうち,適切なものはどれか。
OSだけでなく、ハードウェア制御用のファームウェアも感染対象になり得ます。
History must not repeat.
仕組みを知ることは、防御の第一歩です。
日々の業務での小さな注意が、組織の巨大な盾となります。