続いて、今日のメインディッシュとも言える、実際のマルウェアを使って侵入されるまでの体験デモが行われた。勉強会に集まった報道陣の前には一人1台ずつノートPCがおかれており、メールクライアント「Becky!」がインストールされている。これを開くと添付ファイルありのメールが着信しており、添付ファイルを開いてマクロを実行してしまうと、即座にマルウェア(RAT)の「PlugX」に感染してしまう。
PlugXは標的型攻撃によく使われているツールで、感染したパソコンを遠隔操作したり、ファイルシステムに自由にアクセスできる。実際、講師役のPC上には感染したPCの一覧が表示されており、まるでLAN上のネットワークコンピュータにアクセスしてファイル共有するような気軽さで、感染者のPCの中を自由に覗いていた。
遠隔操作では、GUIアプリの場合はマウスカーソルが勝手に動くなどしてユーザーにバレてしまうが、コマンドラインの場合やファイルシステムを操作されているだけならば、ユーザーの画面は変化がないので、何をされているのか、まったくわからない。最終的にデータはまとめて7ZIPやRARなどの圧縮形式にまとめられてコピーされていくことが多いが、ファイルサイズが大きい場合は適宜分割するといったことも行われているようだ。
実際に侵入された感想としては、こんなあっさりやられるんだ……と思うのと同時に、映画や漫画などで描かれるクラッカーは、暗い部屋でモニターの明かりのみに顔を照らされ、ものすごい勢いでキーボードを叩いていることが多い印象だが、実体としてはお手軽にGUIで、手動でファイル探しているんだ……というのが素直な印象だった(もちろん、CUIのほうが早いというクラッカーも多いだろうが)。
一方、侵入された側の対応としては、どのようになるのだろうか。ここではIIJのセキュリティサービスと契約している企業という設定で、IIJのSOCが侵入を検知したところから始まる。まずSOCからは、感染しているPCの電源などを切らず、LANケーブルも抜かず、できるだけそのままの状態で手をつけないように、という指示が与えられる。侵入されてデータが盗まれているという状況を考えると即座にLANケーブルをぶっこ抜きたくなるが、調査のためには相手の侵入経路や痕跡を抑えるためにも、逆に電源を抜いてメモリーを消したり、ネットワークをリセットしないほうがいいのだという。
実際にはSOCから派遣されたエンジニアがUSBメモリに搭載されたツールを使ってメモリのダンプを保存したり、ストレージ上のログを解析するなどして「いつ・何が感染したか・何が行われたか」を検証していく。必要であればPCをSOCのクリーンルームに運んで詳細な検証が行われることもある(SOCには、こうした感染PC保存専用の金庫もある)。
もちろん侵入側も痕跡をできるだけ消そうとするわけだが、そこはSOCもプロフェッショナル集団であり、詳細な調査によってマルウェアの解析や侵入経路の特定などを行っていくわけだ。今回はデモとして簡易的な手順が示されたが、Windowsの自動起動設定やファイルシステムのログを検証することで、いつ侵入されたか、何がインストールされたか、といった情報がすぐに特定されていた。