2015年6月中旬、公共団体や大学など様々な組織が立て続けにウイルス感染被害を公表しました(図1)。どの組織も発表資料▼で、「6月11日もしくは12日に外部から指摘を受けてウイルス感染が発覚した」と説明しています。これは、外部から同じタイミングで指摘を受けた各組織が、被害状況の調査後に公表したのであろうと推測できます。
図1●様々な組織が2015年6月中旬、立て続けにウイルス感染の被害を公表した
いずれの企業や団体も6月11日あるいは12日に、外部の組織から不正な通信が発生しているとの通報を受けて発覚したという。
[画像のクリックで拡大表示]
▼発表資料 各組織のホームページなどに掲載されるお知らせ。「リリース」や「インフォメーション」、「お知らせ」という名称で公開している。ただし、すでに発表資料を閲覧できなくなった組織もある。
発表資料によると感染を指摘したのは警察だったようです。これは警察が、攻撃者がウイルスに指示を出すC&Cサーバー▼を突き止めたからだと考えられます。
▼C&Cサーバー C&Cは、「Command&Control」の略。警察庁などは、「C2サーバー」と呼ぶ。
芋づる式に被害が見つかる
C&Cサーバーをどうやって突き止めるか、それをどのようにウイルス感染の被害組織の発見につなげるかを見てみましょう。
団体や企業でウイルス感染が見つかると、警察やJPCERTコーディネーションセンター▼などの機関に通報します。感染したコンピュータやその組織のシステムログなどを調査すると、C&CサーバーのIPアドレスやドメイン名が見つかる場合があります(図2)。警察などの機関は、その情報からC&Cサーバーを突き止め、差し押さえます。
図2●C&Cサーバーを差し押さえれば被害組織が芋づる式に見つかる
ウイルス感染したコンピュータや組織のシステムログを調査して、通信先のC&Cサーバーを見つける。警察などがC&Cサーバーを差し押さえてログを調べると、ほかの組織からもアクセスした形跡があり、芋づる式に被害組織が発覚する。
[画像のクリックで拡大表示]
▼JPCERTコーディネーションセンター 企業や団体が、コンピュータインシデントを報告したり、助言を受けたりする機関。重大なインシデントや脆弱性が発覚したときは、セキュリティに関する注意喚起を行ったりもする。
