「緊急対応の依頼が1週間に2桁ほど来る。依頼の大半を断わらざるを得ない状況」(ファイア・アイ日本法人)「昨年比で10倍の問い合わせが来ている」(ラック)──。標的型攻撃などのサイバー攻撃に対応するセキュリティ企業に、緊急対応の依頼が殺到している。

 その背景にあるのは、日本年金機構から情報を漏洩させたマルウエア「Emdivi」や、Adobe Flash Playerの脆弱性を悪用したサイバー攻撃が多発していることだ。

 民間企業のインシデント対応組織チーム「CSIRT」の互助団体、日本シーサート協議会の寺田真敏運営委員長は、近年のサイバー攻撃の特徴について「2、3年前よりもマルウエアの技術や機能が飛躍的に向上している上、企業を問わず広範かつ大量にばらまかれており、標的型攻撃というよりスパム攻撃に近い」と語る。「標的型という呼称には、大企業が狙われるイメージがあるが、実際には中小企業も含めて広範に狙われ、攻撃の踏み台にされている」(寺田氏)。

 この結果、マルウエアを操作する指令サーバー(C&Cサーバー)との通信を検知したJPCERTコーディネーションセンター(JPCERT/CC)や警察などの外部機関から、送信元の企業への通知連絡が増加しているという。JPCERT/CCが2015年4月~6月23日までに実施した通知連絡は61件、うちEmdivi関連は34件だった。「外部機関から突然連絡を受け、何をすればいいか分からず戸惑いながら相談に来る組織が増えている」(ファイア・アイ日本法人の名和利男CTO)。

事業継続やコストとのトレードオフに悩む

 では実際に、JPCERT/CCや警察などの外部組織から「マルウエア感染の恐れあり」との通報が来たら、どう対応すべきなのか。

 まず、指令サーバーと通信しているPCを特定し、マルウエアの感染を確認。感染が複数のPCに広がっていれば、これ以上の漏洩被害を防ぐため、インターネットとの接続を遮断する。必要に応じてプレスリリースなどで情報を公開しながら、調査を通じて漏洩被害の範囲を確認する。こうした手順を踏み、被害を最小限に抑えながら復旧を図るのが、インシデント対応の理想形だ。

 だが、実際のインシデント対応では、理想と現実に大きなギャップがある。事前準備の不足、事業継続とのトレードオフ、コストとの兼ね合いで、理想とは異なる判断を下さざるを得ないことも多い。(1)PCの特定、(2)ネット接続遮断、(3)漏洩被害の確認、(3)情報公開の4点について、理想と現実のギャップと、現実を見据えた対応策を探った。