SANS InfoSec Report 第2回 「USBドライブアタック(Thumb Drive ATTACK)からの教訓」 | ScanNetSecurity
2024.05.06(月)

SANS InfoSec Report 第2回 「USBドライブアタック(Thumb Drive ATTACK)からの教訓」

 2008年9月からの世界的な金融危機の影響は、依然として企業活動に暗い影を落としている。研修教育費は、投資抑制やコスト削減策として真っ先に取り上げられるものの代表例である。米国に本拠を置くあるグローバル企業(以下「A社」)でも、コスト削減の一環として、20

特集 特集
facebookLINE
 2008年9月からの世界的な金融危機の影響は、依然として企業活動に暗い影を落としている。研修教育費は、投資抑制やコスト削減策として真っ先に取り上げられるものの代表例である。米国に本拠を置くあるグローバル企業(以下「A社」)でも、コスト削減の一環として、2009年上半期中の研修(渡航や宿泊を伴う外部研修への参加)が禁止されていた。ところがこの企業からフロリダのオーランドで開催されたSANSトレーニングイベントに十数名の受講申込みがあった。なぜこのような例外が許されたのか。今回はこのストーリーについてご紹介したい。

 きっかけは、MAL_OTORUNやWORM_AUTORUNなどのような、2008年の後半から頻繁に被害を聞くようになったUSBメモリを媒体として広がるウイルス感染(Thumb Drive Attacks)だった。

 A社の米国拠点も、このウイルスによって深刻な被害を受けてしまった。感染はWindowsファイルサーバを介して、海外拠点を含む数千台の端末に瞬く間に広がった。もちろんCEOの端末にも。

 感染が判明した時点では、A社が契約しているアンチウイルスベンダーから当該ウイルスのパターンファイルの提供がなかったことも追い打ちとなって、このときから関係者の途方もなく長く苦痛に満ちた拡散防止作業とウイルス駆除作業、そしてインシデントハンドリングが始まった。すべてを復旧させるまでには数か月を要したとのことである。

 ところが、英国拠点では、この問題がそれほど深刻ではなかったことが判明した。英国のセキュリティ担当者が、ウイルス感染を発見してから数分以内にすべて駆除してしまったのだ。

 運の悪いことに、この話は英国のITマネージャからCEO経由で米国の担当者に伝わった。「「どうして英国ではできて、米国ではできなかったのか」というCEOの不快感たっぷりの説教は、もう二度と聞きたくない」と、この担当者はSANSの取材に対して率直な感想を語ったということである。情報セキュリティの責任者なら、だれでもこのような経験は絶対にしたくないはずだ。

 英国のセキュリティ担当者がとった行動は、Windows組込のwmicコマンドでマルウェアが実行されているシステムと変更された箇所を探し出し、regコマンドで感染したマシンのオートスタート機能を停止してマルウェアが起動しないようにした他、USBやCD/DVDのオートラン機能も停止させた。このようにしてマルウェア停止と感染拡大阻止を実行した後、さらに2〜3のテクニックを駆使して感染マシンのクリーンアップを行った。高価なツールなどまったく使用することなく、この担当者自身のスキルによるインシデントハンドリングが功を奏したのだ。

 英国のセキュリティ担当者はこの技術をどのようにして習得したのか。もう答えはお分かりのことと思う。

 この教訓から、A社では1拠点あたり少なくとも2名は早急に同様のスキルを持つようにとの方針が示され、SANSトレーニングへの参加が例外的に認められたのだ。

 SANSのコースでは、この攻撃をそのまま疑似体験するような演習を用意しているわけではない。あくまでも「起こりうる攻撃を理解してもらい、テクニックを駆使してそれをどう防ぐか」をふんだんに学んでもらう。解は1つだけではないだろう。上記の英国のセキュリティ担当者は、SANSが企図するとおりのスキルを身につけたのだ。

 さて、東京でこのトレーニングが受講できる機会が10月にやってくる。今回ご紹介した内容にいちばん近いスキルが身につくコースは、「SEC504 Hacker Techniques, Exploits and Incident Handling」だ。攻撃のねらいとその手口を詳細に理解し、総合的なインシデントハンドリングが行えることを目的として開発されたコースである。日々進化する攻撃に対応して、コース内容のアップデートも頻繁に行われている。「地球上で最も危険なネットワークの一つ」に接続して演習を行うことも、このコースの大きな魅力となっている。

 最後に、SANSのトップインストラクターの一人であり、「Hacker Techniques, Exploits, and Incident Handling」の開発責任者でもあるEd Skoudisのコメントをご紹介しておこう。

「このコースを担当していて最も楽しいのは、受講生の方が理解に至る瞬間に立ち会えるところです。受講生の方は、たいてい2段階のプロセスを経ます。まず、攻撃にはいかに悪意に満ちたものがあるかを認識するところからです。中には、悪意に満ちた企みを目の当たりにして非常に感情的に反応し、悪態の声を上げる受講生もいます。ここでコースが終わってしまったら、相当酷です。次は、もっと楽しい段階に入ります。コースが進むにつれ、たとえ攻撃がどんなにひどいものであっても、阻止、検知、レスポンスができるということを徐々に理解していきます。コースで習得した知識を用いることで、悪意者がシステムを攻撃するに至ったとしても、それに対する手立てがあるということがわかるのです。要は、悪意者に対抗できる備えの有無次第なのです。 - Ed Skoudis」

SANSトレーニングの情報は以下のサイトをご参照いただきたい。
日本語:
http://sans-japan.jp/
英語:
http://sans.org/
Ed Skoudisによるコース紹介(YouTube SANS Channel):
http://www.youtube.com/watch?v=erK0d8ZkZrk&feature=channel_page

【執筆:NRIセキュアテクノロジーズ株式会社 サイバーセキュリティラボ SANS GIAC Board of Directors member 関取嘉浩】

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  6. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  7. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  8. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  9. インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

    インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

  10. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

ランキングをもっと見る
ホーム 特集 特集 記事
TOP