Enterprise Watch
最新ニュース

X’masの惨劇-JTBの10日間に及ぶセキュリティインシデント対処事例

Webからの脅威でPC800台がウイルス感染

JSS、執行役員 グループIT推進室長の野々垣典男氏

インシデント対応の流れ

JTBのネットワーク概要
 トレンドマイクロ株式会社は11月26日、「“Webからの脅威”インシデント対応事例セミナー」を開催した。巧妙化するWebからの脅威の実例として、2006年12月に発生した株式会社ジェイティービー(以下、JTB)におけるセキュリティインシデントを紹介。当時、実際に現場で指揮したJTB情報システム(以下、JSS)、執行役員 グループIT推進室長の野々垣典男氏が登壇し、約10日にも及んだ混乱と対策の経緯が説明された。

 事の始まりは2006年12月20日。天王洲のJTB本社ビルにて、最初の「ウイルス感染」が発見される。症状としては、繰り返されるOSの再起動や、ホームページに中国語のWebサイトが設定された状態でInternet Explorer(IE)が自動起動し、強制終了しても数分経過すると再び立ち上がってしまうという状況が確認されたという。

 野々垣氏によれば、「まずは1台、その後、数台のPCにて感染が確認されたが、最初は局所的な被害だろうと高をくくっていた」という。初動としては、LANケーブルを抜くといった基本的な初期対処を実施。さらに疑わしいファイルを特定し、感染したPCから削除を行った。ところが、一度削除しても再び感染してしまい、ここで初めて“これまでのウイルスとは何かが違う”という印象を感じたという。

 「過去にもNimdaなどのウイルスに対処した経験があった。そのころのウイルスでは症状も決まったもので、対処もある一定のパターン化されたもので十分だった。ところが、この事例では、パターン化された対処がまったく効かない。症状もOS再起動とIEの自動起動のほかに、Word・Excelなどが起動しなかったり、極端に重くなったりと、PCによってさまざまで、“なんてしつこいウイルスなんだ”というのが率直な感想だった」(同氏)。

 そして翌21日。ウイルスの猛威は想像を超えて大きなものであることが判明する。ウイルス感染源は、天王洲のJTB本社ビル。その中には「本社」と「グループ会社」のネットワークが共存していた。このうち本社ネットワークが被害を受けたのだが、グループ会社のネットワークとはドメインを分けていたので、そちらまで感染が拡大することはなかった。それでも21日の時点で、本社ネットワーク内だけでも疑わしいPCが300台にまでふくれ上がっていたという。

 「もちろん、日ごろのウイルス対策として、ゲートウェイとエンドポイントでトレンドマイクロ製品を導入していた。しかし、海外事業を担当する社員が閲覧した中国のWebサイトに、未知のウイルスが埋め込まれており、ウイルス対策エンジンが補足できなかった。これが感染の原因と推定される」(同氏)。これを受けて、JSSでは21日丸々費やして社内に対策本部を設置。本腰を入れての対応を開始する。


23・24日の集中普及

25日に業務再開。事態を知らない社員への周知を徹底
 翌22日、非常事態宣言を発令し、集中復旧に向けた人員確保に着手。このとき感染はなおも継続しており、新種のウイルスが多数発見される状況だった。見つかったウイルスは、アイコンを「お祈りパンダ」に変更するウイルスとして知られる「PE_FUJACKS」、ネットワークを介して感染し情報漏えいを誘発する「PE_LOOKED」とそれによりダウンロードされ、オンラインゲームのID・パスワードなどを収集する「TSPY_LEGMIR」など数百にも及んだとのこと。

 「ウイルスは非常に巧妙にできていた。レジストリを書き替えた後、ウイルス自体はファイル名をランダムに変更するような仕掛けが施されていた。このため単純に特定のファイルを削除せよとの指示も行えず、打ち手が制限されてしまった」と野々垣氏は語る。

 ここで、トレンドマイクロへ協力を要請。トレンドマイクロでも、緊急の24時間体制が敷かれることとなる。ところが社内では、肝心の人員確保が難航していた。なぜなら22日は金曜日、週末にはクリスマス(X'mas)を控え、若いスタッフを収集するのが困難だったのだ。「何しろJSSは平均年齢の低い会社。まとまった人員を確保するためには、若いスタッフに何としてもはせ参じてもらわなければならない。そこで土日どちらか、午前・午後のどちらかだけでも参加可能にして、人数を集める工夫をした」(同氏)。

 功を奏して、総勢120名の人員を集めることができたJSSは、いよいよ23・24日にまたがる集中復旧作業を開始する。

 まず120名を「感染フロアごとの復旧チーム」「技術サポートチーム」「事務局」の3チームに編成するとともに、すべてのPCを対象に治療の優先順位付けを実施。併せて、トレンドマイクロから提供された駆除ツールを全PC上で実行し復旧を待った。それでも復旧が見込めないPCが約200台。これらに対しては、症状や所有者、設置場所などを明記した“カルテ”を添付、対策を後回しにして、ひとまず1カ所に集約する処置をとった。

 同時にトレンドマイクロと随時連絡を取り、検体を提供、それを基に作成されるバンテージファイル(緊急時などに特定顧客にのみ配布されるパターンファイル)などのサポートを受けながら、技術サポートチームが感染フロアごとの復旧手順書を作成するなどの対策を並行させた。

 「心配なのは、一部のPCにでもウイルスが残っているとまた拡散する恐れがあること」(同氏)。そこで翌25日、月曜日となるこの日には、再感染回避のため全社員への情報通知を徹底。「出社して初めて事態を知る人もいた。そういった人が安易にPCをネットワークにつながないよう、朝早くから状況を知らせる書面を全社員に配布して、まず一度ウイルスチェックを行ってもらうよう努めた」(同氏)という。

 さらにJSS社員30名を各フロアに配置して、質問や緊急事態へ対応できるよう準備も怠らなかった。これにより、再感染することなく600台のPCが無事復旧。ここでようやく業務を再開することが可能になったという。


25日以降、全面復旧へ向けての対応
 しかし、まだ1カ所に集められたおよそ200台の未復旧PCが残っている。25日以降はこれらへの対応をスタートする。200台を詳しく観察すると、3つの症状に分けることが可能だったという。そこで症状ごとに3つの会議室に分け、順次提供されていたトレンドマイクロの駆除ツール、パターンファイルを適用したところ、100台以上が無事に復旧。復旧しない残りのPCは、新規PCとリプレースすることで対策としたという。その数70台。2日間、5人で全台のセットアップを行い、ようやくすべてのPCが復旧したとのこと。

 この事例を通じて、「ウイルスをはじめとした脅威は変化しており、事前の防御だけでは限界があると感じた」と野々垣氏は語る。

 「変化した脅威に対抗するためには、企業の情報システム部門の主体的かつ迅速な対処が不可欠。具体的には、“怪しい”と思ったらすぐに行動を開始し、一時的に日常業務を止める覚悟で、ウイルス感染の可能性があるPCはネットワークにつなげない徹底した対応が必要だ。事前の防御は“当然”だが、それだけではなく、感染したときどうするかを考える必要があると痛感した。そして感染したときどうするかを考えるならば、情報システム部門とベンダの連携が重要。この事例では、トレンドマイクロから駆除ツール・パターンファイルの提供などの迅速な対応を受けることができたため、無事に乗り越えることができた」(同氏)。


トレンドマイクロ、上級セキュリティエキスパートの黒木直樹氏
 巧妙化、ゼロデイ化が進むWebからの脅威に対応するため、トレンドマイクロは2007年5月から「リージョナルトレンドラボ」を開設し、より高度なウイルス解析などを開始している。それでも「セキュリティに100%はない」と語るのは、トレンドマイクロ、上級セキュリティエキスパートの黒木直樹氏。

 「当然、パターンファイルをすり抜けて感染してしまうウイルスは今後も出てくる可能性がある。この事例では、PCに不審な現象が発生したため、感染にいち早く気が付くことができたが、最近のウイルスのトレンドは“不可視化”。感染しても目に見える現象は起こさず、影に潜んで着々と活動を行うものがほとんどとなっており、今後はますます感染に気が付きにくくなるだろう。当社では、こうした問題に対して、Webレピュテーションという技術を提供している。また、今後の予定としては、企業内のネットワークを監視して、不審なパケットを検知したら、ネットワークを流れている段階で排除する“ビヘイビアアナリシス”という技術の提供も行う方針。ユーザーとしては、インターネットが安全ではないとしっかり認識し、複合機能を搭載する対策ソフトなどを、正しく利用することが肝要となってくる」と語った。



URL
  トレンドマイクロ株式会社
  http://trendmicro.co.jp/
  株式会社ジェイティービー情報システム
  http://www.jss.co.jp/

関連記事
  ・ トレンドマイクロ、Webからの脅威に対抗するゲートウェイ「InterScan」新製品(2007/07/03)
  ・ トレンドマイクロ、国内専門のウイルス収集・解析センターを本格始動(2007/05/22)


( 川島 弘之 )
2007/11/26 16:44

Enterprise Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.