続いて、今日のメインディッシュとも言える、実際のマルウェアを使って侵入されるまでの体験デモが行われた。勉強会に集まった報道陣の前には一人1台ずつノートPCがおかれており、メールクライアント「Becky!」がインストールされている。これを開くと添付ファイルありのメールが着信しており、添付ファイルを開いてマクロを実行してしまうと、即座にマルウェア(RAT)の「PlugX」に感染してしまう。

  • メールアプリを開くと怪しげな添付ファイルのついたメールが届いていた

  • 添付ファイルを開くと、Wordの画面上部に黄色のメッセージバーが表示される。これはマクロやActiveXなど、ローカルのファイルにアクセスできるコンテンツを含んでいる場合のセキュリティ警告のメッセージなので、これが出たら安易に「コンテンツの有効化」をクリックしてはいけない

  • メッセージバーをクリックしてOKした瞬間に感染は完了している。画面上はなんの変化も起きていないので、ユーザーは気付きようがない

PlugXは標的型攻撃によく使われているツールで、感染したパソコンを遠隔操作したり、ファイルシステムに自由にアクセスできる。実際、講師役のPC上には感染したPCの一覧が表示されており、まるでLAN上のネットワークコンピュータにアクセスしてファイル共有するような気軽さで、感染者のPCの中を自由に覗いていた。

  • 感染後、講師役のPCから感染したPCの一覧が表示され、容易にアクセスできてしまうことが示された。恐ろしいくらいお手軽に侵入されている

遠隔操作では、GUIアプリの場合はマウスカーソルが勝手に動くなどしてユーザーにバレてしまうが、コマンドラインの場合やファイルシステムを操作されているだけならば、ユーザーの画面は変化がないので、何をされているのか、まったくわからない。最終的にデータはまとめて7ZIPやRARなどの圧縮形式にまとめられてコピーされていくことが多いが、ファイルサイズが大きい場合は適宜分割するといったことも行われているようだ。

  • CUIでコマンドを多数実行しているが、侵入されている側のPCの画面はまったく変化がないし、体感でもほとんど処理速度の差などは感じられない。マルチコア・マルチタスク環境というのも考えものだな、という思いだ

  • これもPlugXのツール画面。上半分が侵入したPC、下半分が攻撃側のディレクトリ。管理者権限も握られている上に、GUIでお手軽にファイルをドラッグ&ドロップでコピーできてしまう。まさにやりたい放題だ

実際に侵入された感想としては、こんなあっさりやられるんだ……と思うのと同時に、映画や漫画などで描かれるクラッカーは、暗い部屋でモニターの明かりのみに顔を照らされ、ものすごい勢いでキーボードを叩いていることが多い印象だが、実体としてはお手軽にGUIで、手動でファイル探しているんだ……というのが素直な印象だった(もちろん、CUIのほうが早いというクラッカーも多いだろうが)。

一方、侵入された側の対応としては、どのようになるのだろうか。ここではIIJのセキュリティサービスと契約している企業という設定で、IIJのSOCが侵入を検知したところから始まる。まずSOCからは、感染しているPCの電源などを切らず、LANケーブルも抜かず、できるだけそのままの状態で手をつけないように、という指示が与えられる。侵入されてデータが盗まれているという状況を考えると即座にLANケーブルをぶっこ抜きたくなるが、調査のためには相手の侵入経路や痕跡を抑えるためにも、逆に電源を抜いてメモリーを消したり、ネットワークをリセットしないほうがいいのだという。

実際にはSOCから派遣されたエンジニアがUSBメモリに搭載されたツールを使ってメモリのダンプを保存したり、ストレージ上のログを解析するなどして「いつ・何が感染したか・何が行われたか」を検証していく。必要であればPCをSOCのクリーンルームに運んで詳細な検証が行われることもある(SOCには、こうした感染PC保存専用の金庫もある)。

  • 自動起動設定から、ファイル名はMicrosoft純正だが、インストールされている場所がおかしいEXEファイルを発見

  • マルウェア本体を探したら、次はログを検証して「いつ」侵入されたかを検証する。犯罪捜査は地道な作業なのだ

もちろん侵入側も痕跡をできるだけ消そうとするわけだが、そこはSOCもプロフェッショナル集団であり、詳細な調査によってマルウェアの解析や侵入経路の特定などを行っていくわけだ。今回はデモとして簡易的な手順が示されたが、Windowsの自動起動設定やファイルシステムのログを検証することで、いつ侵入されたか、何がインストールされたか、といった情報がすぐに特定されていた。