本連載では、ランサムウェアを含む「マルウェア感染」という、さまざまな企業が頭を悩ませる問題について、リクルートグループのコンピュータインシデント対応チーム「Recruit-CSIRT」の発想と技術をお伝えする。
2017年5月に発生したランサムウェア「WannaCry」の世界的猛威を覚えていますか? ニュースでも多く取り上げられて記憶に新しいかと思います。本連載では、ランサムウェアを含む「マルウェア感染」という、さまざまな企業が頭を悩ませる問題について、Recruit-CSIRT(リクルートシーサート)における対応方法の発展をお伝えします。この事例が、皆さんの参考になれば幸いです。
リクナビ、ゼクシィ、SUUMOなど多くのITサービスを運営するリクルートグループ。マルウェア対策をはじめとするセキュリティ対策は以前から経営課題として重要視されており、IT部門で日々検討と対応が繰り返されてきました。
以前から「アンチウイルスソフトのみの対応ではパターンファイルの作成が間に合わない」ことも認識。いわゆる「ゼロデイマルウェア」による標的型攻撃の検知センサーも導入し、検知しては対応を繰り返してマルウェアがまん延するのを防いできたのです。アンチウイルスソフトは本当に素晴らしいのですが、対応の精度を上げるためには検知内容の精査を行う必要がありました。
検知後の対応は、いわゆる「端末の初期化」(OSのクリアインストール)です。つまり、完全な検知間違い(誤検知)やマルウェアとは言いにくいグレーなソフトウェア(過検知)などの仕分けを行った上で行動を起こさないと、現場の業務に悪影響を与えてしまいます。
いわゆるファイルのハッシュ値やファイル名、ダウンロード元や接続先のURLやIPなどのレピュテーション(評判)分析は社内で実施していましたが、未知のマルウェアに対しては情報が足らず、仕分けが難しい局面も多いものです。よって、上記のような「仕分け」分析をするには、「検知センサーの深い理解と知識」と「マルウェアの広い知識」が必要です。自社で仕分けできない場合はセキュリティベンダーに委託していましたが、その回答スピードは早くて2時間前後がほとんどでした。それだと、例えば「情報漏えいを引き起こすマルウェアに侵入される」という最悪のケースを考えた場合、スピードと分析内容の面でわれわれの要望を満たさないという懸念がありました。
とはいえ、当時はこういった「マルウェア分析」は高度なスキルが必要で、セキュリティベンダーではないユーザー企業が自社で実施することはできないと思われていました。
大きな変化は、2015年4月に情報セキュリティ専門の部署が設立され、同時にコンピュータインシデント対応の専門チームとしてRecruit-CSIRTも設立されたことです。Recruit-CSIRTは、数少ないプライベートSOC(Security Operation Center)を持っているCSIRTです。そして筆者も、たまたまこの月に入社しました。セキュリティ組織のメンバーとして、「マルウェア分析の内製化」に取り組み始めたのです。
内製化への初めの一歩は、マルウェアの実態をCSIRT内に「布教」することでした。
自分たちが運用している検知センサーの仕様の細かい部分をベンダーに問い合わせたり、はやりのマルウェアの動きをトピックとしてインプットしたりしました。さらに、今までの運用では見ていなかった挙動ログ(マルウェアが仮想環境で動いた際のログ)を、可能な限り眺めてみてはレポートにまとめ、隔週で報告会(追加で勉強会も)を実施することもありました。
通常、多くのセキュリティベンダーの振り返り分析レポートは月次ベースですが、Recruit-CSIRTではあえて、2週間に一度の隔週で実施しました。月次だと1つ1つの事象に深く触れる時間が取りにくいからです。外部サービスに負けず劣らずのクオリティーを意識していました。
報告会では、直近2週間の検知ログから「どういったマルウェアに感染したか」「どこまで感染が進んでいたか」「端末の情報は、どこまで読まれていたか」を実際の検知ログのスクリーンショットなどと照らし合わせながらレポートし、これを半年繰り返しました。ここで意識していたのは、必ず実際のログを資料に貼り付ける、つまり仮説でなくFACT(事実)で話すということです。リクルートグループでは「仮説」と「事実」は分けて書く、分けて話すのが常識でした。
さらに報告会には、セキュリティ対策導入のマネジャーとセキュリティアラート運用のマネジャーに同席してもらいました。その結果、例えばマルウェアの侵入状況から、取得が足りず追えなかったログを取得するかどうかの検討、再発防止策の案出し、さらには運用改善まで一度に議論できました。
最初の半年は、マルウェア解析を得意とするメンバーが、マルウェアの情報や分析手法を他のメンバーへインプットする「展開」がメインでした。前述した隔週のマルウェア分析報告会を始めて半年が経過しようとしたときに、Recruit-CSIRTでは、自分の好きなタイミング、好きな仮想環境でマルウェアを意図的に動作させ、その振る舞い解析が行えるベンダー製品を導入しました。
導入の主な理由は、「マルウェアの多くはダウンローダー機能を持っており、インターネットに接続された環境で動作させないと、影響範囲や追加のマルウェアを発見できない」という共通認識が、報告会や勉強会を通して浸透したためです。これにより、今まで見えなかったものが見えるようになり、より深く影響範囲を調べることができるようになります。
さらに、導入したベンダー製品をCSIRTの共通分析基盤とすることで、今までインプットを受ける側だったメンバーも、アウトプットを出す側に回れるようになり、今度は「持ち回り」で報告会と勉強会を継続することになりました。
その結果、CSIRT発足から1年が過ぎたころには大きな変化が起こりました。メンバーのほとんどが、さまざまな条件が混在する挙動ログを読み解けるようになったのです。今までセキュリティベンダーに聞かなければ誤検知か過検知か判断できなかった事象も、自分たちで判断できるようになりました。もともとマルウェア解析が得意だったメンバーには、新たなチャレンジができる余力ができ始めたのも、このころです。
Copyright © ITmedia, Inc. All Rights Reserved.