マルウェア感染後の対処法を学ぶ“サイバー攻撃の防災訓練”とは：イベントレポートアーカイブ（2/3 ページ）

[土肥正弘，ドキュメント工房]

社内システムにマルウェアが侵入、そのときあなたはどうする？

　演習は架空の組織「株式会社サイダー」のシステムにマルウェアが侵入したというシナリオで行われた。シナリオの前提条件は次の通りである。

シナリオの前提条件

• 機密情報が多いため、ネットワークは研究開発用と業務用、基幹系の3つに分割され、端末にはDHCPサーバによってIPアドレスが動的に割り当てられている
• インターネットへの接続にはDMZ（DeMilitarized Zone：ネットワーク外部と内部の中間領域、非武装地帯）を設け、外部への通信はプロキシサーバを経由して行っている
• 株式会社サイダーは外部SOC（Security Operation Center）業者にセキュリティ関連業務を委託している
• プロキシサーバはSOC業者が監視しており、インシデント発生時には株式会社サイダーのCSIRT窓口に通報する

　この前提を図で示すと次のようになる。

図2 演習の登場人物と登場機関（受講者は総務部情報管理課CSIRT担当者の役割）

　そこで次のようなインシデントが発生した。

　ある日、株式会社サイダーにSOC業者から「自社ネットワークとC＆Cサーバ（サイバー攻撃を司令するサーバ）で不審な通信が発生している」と通報が入る。その後社内端末のうち1台がマルウェアに感染し、他の端末にも感染が広がっていたことが分かった。攻撃者は既にActive Directoryなどのドメインコントローラーの管理者権限を奪い、感染端末から機密情報ファイルが外部に送信されていたことが明らかになる……。