セキュリティ担当者がなるべく聞きたくないものの一つがインシデント(事故)の発生報告だ。情報漏洩やサイバー攻撃被害に対する政府と世間の関心が高まるなか、APT(アドバンスト・パーシスタント・スレット)や標的型攻撃のインシデントの報告は、組織にとって経営層まで巻き込んだ判断や対応が必要な「一刻を争う事態」といえる。今回はAPTや標的型攻撃の被害に遭っている事態が判明したことを「APT宣告」と定義して、APT宣告を受けた時に組織が取るべき行動を説明していく。

 APT宣告を受けるパターンとしては、自組織では気付かずに外部から「貴組織のIPアドレスから不審な通信が出ている」という指摘で宣告を受けるケースが増えている。外部機関とは監督官庁や内閣サイバーセキュリティセンター(NISC)、警察、JPCERTコーディネーションセンター、情報処理推進機構(IPA)などだ。

 こうした外部機関はAPTや標的型攻撃で使われたマルウエア(悪意のあるソフトウエア)そのものや、攻撃者がマルウエアを操るために設置した「指令サーバー(C&Cサーバー、C2サーバー)」を調査している。これらの外部機関から組織に連絡があった場合は、指令サーバーに組織からアクセスした痕跡が残っていた可能性があり、連絡の信憑性はかなり高いといえる。

 以上のような背景から、外部機関が連絡してきた場合は適切な対処が望まれる。もちろん、結果的にAPTや標的型攻撃より被害が少ない、不正送金マルウエアの感染だったというようなケースはあるだろう。また、自組織でAPT侵害に気付いたとしても、攻撃や情報窃取はとうに終わっていたり攻撃を受けた当時のログが残っていなかったりして「時既に遅し」というケースも増えている。

APT宣告を受けた後に取るべき行動とは

 APTの被害に遭っている事態が判明した場合に限らず、インシデント発生時に取るべき初動対応で配慮すべき主な方針は、第2回で説明した「被害拡大の防止」「証跡の保全」の2点である。加えて、「大きく捉えて、小さく落とす」という心構えで臨んでもらいたい。

 得てしてインシデントに直面した人は、影響や被害を小さく見積もりたがる傾向にある。だが、いったん風呂敷を大きく広げたうえで、事実確認によって少しずつ畳んでいき、結果として想定よりも被害が小さかったというのが望ましい。

 APT宣告の後に取るべき行動として、筆者は以下のような6ステップを考えている。