Microsoftは米国時間4月2日、サイバーセキュリティソリューショングループ内のチームである「Detection and Response Team(DART)」が扱った事例を紹介する、2本目となるレポートを公開した。今回のレポートでは、1人の従業員がフィッシングメールを開いてしまった結果、社内ネットワークの全面停止に至った顧客の事例が紹介されている。このメールには、バンキング型トロイの木馬として悪名高い「Emotet」が含まれていた。
Microsoftが今回紹介しているインシデントレスポンスの詳細(顧客名にはFabrikamという仮の名前が用いられている)は、2018年2月にペンシルバニア州アレンタウン市によって開示されたサイバーセキュリティインシデントと類似している。同市は復旧に要する費用を100万ドル(約1億900万円)と見込んでいた。
この攻撃によって、185台の監視カメラのネットワークを含む同市の中核的なシステムがダウンしたと、Associated Pressが報じていた。
この報道では、Emotetは自己増殖しながら従業員のログイン認証情報を盗んだとする市長の説明を伝えていた。同市は「急速に悪化する事態を食い止める」ために、緊急対応の初期費用としてMicrosoftに18万5000ドル(約2000万円)を支払い、さらに80万~90万ドルが復旧に必要となる見込みだとしていた。
FabrikamがMicrosoftのDARTに支援を要請したのは、当該従業員がフィッシングメールを開いた8日後のことだった。その時点で、Emotetの活動によって、コンピューターと基幹システムが正常に機能しなくなっており、ネットワーク帯域幅が限界を超えてしまっていたという。
同マルウェアは不正に侵入した被害者のコンピューターを用いてDDoS攻撃を仕掛け、ネットワーク容量を超える負荷を発生させていた。
「このウイルスは、185台の監視カメラネットワークも含めて、Fabrikamのシステムすべてを脅かした。経理部門は外部の銀行取引がまったくできず、パートナー企業はFabrikamが管理するデータベースにアクセスできなかった。カオス状態だった」とDARTチームは記述している。
さらに「彼ら(Fabrikam)は、このシステム障害が、ハッカーによる外部からのサイバー攻撃によって引き起こされたのか、社内のウイルスに起因するものなのかを特定できなかった」と説明。
「自らのネットワークアカウントにアクセスできれば、判断の手がかりが得られたかもしれない。しかしEmotetによって、実質的に何の作業もできなくなるほどネットワークの帯域幅が消費されていた。電子メールすら遅くて使いものにならなくなっていた」(DART)
同インシデントに対応するために、DARTの複数のメンバーが現地に出向き、他のDARTメンバーたちもリモートによる支援を提供した。
同市のシステムの内部を確認するため、DARTは「Defender Advanced Threat Protection」「Azure Security Scan」「Azure Advanced Threat Protection」などのマルウェア検知ツールのトライアルライセンスを導入した。
Emotetによるネットワーク全体への感染と再感染を抑止するために、現地のDARTメンバーはリモートツールを利用して、Fabrikamのネットワークにアクセスし、管理者権限を用いてシステムを隔離するための緩衝地帯を構築した。
このアプローチにより、ウイルス対策ソフトウェアによるEmotetの除去に向け、同マルウェアを隔離できるようになった。Microsoftは同時に、ウイルス対策ソフトウェア向けに同マルウェアのシグネチャーをアップロードし、Emotetの根絶に乗り出した。
さらに、現地でリバースエンジニアリングを担当していた技術者たちは、被害環境の復旧に向け、「Microsoft System Center Configuration Manager」を修復した。
Microsoftは、Fabrikamがベストプラクティスに準拠せず、電子メールフィルターによる社内メールのスクリーニングを怠っていた結果、警告が発せられる隙もないまま社内でのEmotetのまん延を招いたと指摘している。もしもFabrikamが社内メールのスクリーニングを実施していれば、攻撃が始まる前に管理用のディレクトリーを守るだけの貴重な時間を得られていたはずだ。
Microsoftはこのような攻撃に対処する手段として、多要素認証の利用などを挙げた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。