SANS InfoSec Report 第2回「USBドライブアタック（Thumb Drive ATTACK）からの教訓」

　2008年9月からの世界的な金融危機の影響は、依然として企業活動に暗い影を落としている。研修教育費は、投資抑制やコスト削減策として真っ先に取り上げられるものの代表例である。米国に本拠を置くあるグローバル企業（以下「A社」）でも、コスト削減の一環として、20

特集特集

2009年8月25日（火） 16時30分

　2008年9月からの世界的な金融危機の影響は、依然として企業活動に暗い影を落としている。研修教育費は、投資抑制やコスト削減策として真っ先に取り上げられるものの代表例である。米国に本拠を置くあるグローバル企業（以下「A社」）でも、コスト削減の一環として、2009年上半期中の研修（渡航や宿泊を伴う外部研修への参加）が禁止されていた。ところがこの企業からフロリダのオーランドで開催されたSANSトレーニングイベントに十数名の受講申込みがあった。なぜこのような例外が許されたのか。今回はこのストーリーについてご紹介したい。

　きっかけは、MAL_OTORUNやWORM_AUTORUNなどのような、2008年の後半から頻繁に被害を聞くようになったUSBメモリを媒体として広がるウイルス感染（Thumb Drive Attacks）だった。

　A社の米国拠点も、このウイルスによって深刻な被害を受けてしまった。感染はWindowsファイルサーバを介して、海外拠点を含む数千台の端末に瞬く間に広がった。もちろんCEOの端末にも。

　感染が判明した時点では、A社が契約しているアンチウイルスベンダーから当該ウイルスのパターンファイルの提供がなかったことも追い打ちとなって、このときから関係者の途方もなく長く苦痛に満ちた拡散防止作業とウイルス駆除作業、そしてインシデントハンドリングが始まった。すべてを復旧させるまでには数か月を要したとのことである。

　ところが、英国拠点では、この問題がそれほど深刻ではなかったことが判明した。英国のセキュリティ担当者が、ウイルス感染を発見してから数分以内にすべて駆除してしまったのだ。

　運の悪いことに、この話は英国のITマネージャからCEO経由で米国の担当者に伝わった。「「どうして英国ではできて、米国ではできなかったのか」というCEOの不快感たっぷりの説教は、もう二度と聞きたくない」と、この担当者はSANSの取材に対して率直な感想を語ったということである。情報セキュリティの責任者なら、だれでもこのような経験は絶対にしたくないはずだ。

　英国のセキュリティ担当者がとった行動は、Windows組込のwmicコマンドでマルウェアが実行されているシステムと変更された箇所を探し出し、regコマンドで感染したマシンのオートスタート機能を停止してマルウェアが起動しないようにした他、USBやCD/DVDのオートラン機能も停止させた。このようにしてマルウェア停止と感染拡大阻止を実行した後、さらに2〜3のテクニックを駆使して感染マシンのクリーンアップを行った。高価なツールなどまったく使用することなく、この担当者自身のスキルによるインシデントハンドリングが功を奏したのだ。

　英国のセキュリティ担当者はこの技術をどのようにして習得したのか。もう答えはお分かりのことと思う。

　この教訓から、A社では1拠点あたり少なくとも2名は早急に同様のスキルを持つようにとの方針が示され、SANSトレーニングへの参加が例外的に認められたのだ。

　SANSのコースでは、この攻撃をそのまま疑似体験するような演習を用意しているわけではない。あくまでも「起こりうる攻撃を理解してもらい、テクニックを駆使してそれをどう防ぐか」をふんだんに学んでもらう。解は1つだけではないだろう。上記の英国のセキュリティ担当者は、SANSが企図するとおりのスキルを身につけたのだ。

　さて、東京でこのトレーニングが受講できる機会が10月にやってくる。今回ご紹介した内容にいちばん近いスキルが身につくコースは、「SEC504 Hacker Techniques, Exploits and Incident Handling」だ。攻撃のねらいとその手口を詳細に理解し、総合的なインシデントハンドリングが行えることを目的として開発されたコースである。日々進化する攻撃に対応して、コース内容のアップデートも頻繁に行われている。「地球上で最も危険なネットワークの一つ」に接続して演習を行うことも、このコースの大きな魅力となっている。

　最後に、SANSのトップインストラクターの一人であり、「Hacker Techniques, Exploits, and Incident Handling」の開発責任者でもあるEd Skoudisのコメントをご紹介しておこう。

「このコースを担当していて最も楽しいのは、受講生の方が理解に至る瞬間に立ち会えるところです。受講生の方は、たいてい2段階のプロセスを経ます。まず、攻撃にはいかに悪意に満ちたものがあるかを認識するところからです。中には、悪意に満ちた企みを目の当たりにして非常に感情的に反応し、悪態の声を上げる受講生もいます。ここでコースが終わってしまったら、相当酷です。次は、もっと楽しい段階に入ります。コースが進むにつれ、たとえ攻撃がどんなにひどいものであっても、阻止、検知、レスポンスができるということを徐々に理解していきます。コースで習得した知識を用いることで、悪意者がシステムを攻撃するに至ったとしても、それに対する手立てがあるということがわかるのです。要は、悪意者に対抗できる備えの有無次第なのです。 - Ed Skoudis」

SANSトレーニングの情報は以下のサイトをご参照いただきたい。
日本語：
http://sans-japan.jp/
英語：
http://sans.org/
Ed Skoudisによるコース紹介（YouTube SANS Channel）：
http://www.youtube.com/watch?v=erK0d8ZkZrk&feature=channel_page

【執筆：NRIセキュアテクノロジーズ株式会社サイバーセキュリティラボ SANS GIAC Board of Directors member 関取嘉浩】

《ScanNetSecurity》