NTTデータと聞いて、情報セキュリティを思い浮かべる方は少ないかもしれません。しかし、社会インフラシステムを長年維持運用してきたNTTデータグループには、4千名近いセキュリティのスペシャリストが在籍しています。

今回は、お客様のウイルス感染と当社による緊急対応サービスの事例を踏まえて、ウイルス感染時の原因究明と影響把握について解説します。

1.背景

ある日お客様の元に「OA環境から不審な通信が外部に発信されている」と、社外の公的組織から連絡が入りました。

お客様はサービス業で、大量の個人情報を扱っていました。そして、信用が重視される業態のため、「不審な通信」が大量の個人情報漏洩に繋がっていたとすると、重大な経営リスクに直結します。

そこで、NTTデータが個人情報漏洩の有無を調査することになりました。

2.調査と分析（原因究明）

（1）なにをどう分析する？

お客様のOA環境は広大で、数千台の端末が存在する中、調査と分析のためには「不審な通信」の発信元であるウイルス感染端末の特定が必要でした。

そこで、お客様からヒアリングを実施するとともに、ウェブプロキシログの分析を行うことにしました。NTTデータ独自のログ分析技術により、ウイルス感染端末の特定や、危険度の判定を行うことができます。

その結果、6台のウイルス感染が疑われる端末を発見しました。そこで、さらに詳細を確認すべく、この6台の端末のハードディスクの解析も実施しました。（この作業をデジタルフォレンジックと呼びます。）

（2）ウイルス感染だった？

上記の結果、端末からウイルス感染の痕跡が確認されました。また、ログ分析を更に進めていくことで、通報のあった「不審な通信」の正体は、ウイルスを通して攻撃者が情報を収集したり、端末を遠隔操作したりするためのC＆C（Command and Control）サーバとの通信であることも確認されました。

まさに、いつ社外に情報が漏洩してもおかしくない状況です。そこで引き続き、情報は漏洩したのか、漏洩したとしたらどの様な情報なのかを、詳しく調査することにしました。

（3）感染した原因は？

今後の対策の為にも、漏洩内容の調査と併せて、ウイルス感染の原因特定も重要です。どの様なルートでウイルスに感染したのかも確認するため、メールサーバの解析も行いました。

3.調査結果（影響把握）

（1）個人情報漏洩の有無は？

ウイルスの挙動解析や端末のフォレンジック調査の結果、社外との通信が発生していたものの大量の個人情報漏洩の痕跡は見つからなかったと、お客様にご報告しました。まさに不幸中の幸いといえます。

（2）感染原因は？

昨今話題の標的型攻撃ではなく、ばらまき型攻撃メール経由でウイルスに感染していたことが判明しました。

（3）再発防止や今後の対策は？

今回は重大な情報漏洩に発展しませんでしたが、再発を防ぐ対策が必要です。

具体例を挙げるときりがありませんが、機器/ソフトのパッチ適用やアンチウイルス定義の最新化といった基本動作に加え、ログ分析/監視による早期警戒、サンドボックス技術等の次世代アンチウイルス機器の導入などがあります。

しかし、残念ながらウイルス感染を100％防ぐことは困難です。そこで、これらの対策をしつつ、万一感染したとしても重要な情報が流出しないように「減災」に力を入れることも重要です。例えば、CSIRTによる組織的なインシデントハンドリング、インシデント発生時の対応手順確認/演習、ネットワーク分離による重要情報資産の隔離、情報漏洩検知の仕組み導入などが挙げられます。