「原因不明のログインエラーが起こっている。至急、詳細に調査してもらえないか」──X社のシステム担当者からセキュリティ大手ラックのサイバー救急センターに調査依頼の連絡があったのは2013年8月下旬だった(図2-1)。同センターは、セキュリティインシデントへの対応や調査などを専門に行う組織だ。

図2-1●IEの脆弱性を突くゼロデイ攻撃でマルウエアに感染
X社は、米マイクロソフトが2013年9月18日に明らかにした同社のWebブラウザー「Internet Explorer」(IE)の脆弱性を突かれて、一部のクライアントパソコンがマルウエアに感染。社内サーバーへの不正なアクセスで発覚した。
[画像のクリックで拡大表示]

 X社は、ラックの監視サービスを利用する顧客だ。依頼の数日前にラックは、X社の社内サーバーへのログインエラーの多発を検知し、通知していた。X社の担当者は、システムを構築した事業者と共同で原因を探ったが対応しきれず、救急センターに駆け込んできたわけだ(図2-2)。

図2-2●サーバーへのログインエラーで不正侵入が発覚
社内サーバーにおいて、複数台のクライアントパソコンからのログインエラーが発生したことで、X社の担当者は、監視サービスからの通知を受けて異常を感知し、システムインテグレーターに相談した。
[画像のクリックで拡大表示]

 サイバー救急センターの関 宏介さんは当初、X社は規模が大きく、インフラ事業に関わっていたので、原因はよくある標的型攻撃だと推測していた。しかし、エラーの詳細な解析を始めてすぐ、「標的型攻撃にしてはちぐはぐな部分がある」と感じた。一般的な標的型攻撃に比べて、攻撃が荒っぽかったからだ。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。