ある団体がEmotetに感染し情報漏洩した事故で時系列が公表されていますが、初動の遅れが気になったので検証してみたいと思います。皆様の会社で同じような事故が発生した場合の参考にして頂ければと思います。セキュリティ事故は初動が非常に重要ですから。
さて、その団体が発表している時系列+αを転記してみます。実際の年月日は隠しています。
- 1日目 お客様より当店を装う不審なメールが届いているとのご連絡を頂き、当店を装った第三者からの不審なメールが発信されていることを確認。
- 2日目 被害拡大防止の為、当店ネットショップサイトを一時閉鎖。
- 3日目 全パソコンのウイルスチェック開始。感染の可能性があるパソコンの隔離、初期化を実行。ログを採取し感染有無の調査開始。
- 17日目 ログ解析の結果、初期化済パソコン1台からマルウェア(Emotet)感染の疑いを確認。
- 53日目 マスコミによる報道がきっかけで告知と問い合わせ窓口の設置を実施。
さて、本来であれば1日目の段階で全パソコンのウイルスチェックの実施を行うべきなのに、実施されていないのは事故対応としては非常に遅いと言えます。あと、普段からEmotetに関するマスコミによる報道を目にして情報収集をしていれば、外部から連絡をもらった段階でEmotetの可能性が非常に高いことを判断できますので、サイトの閉鎖を行う必要はなく、ウイルスチェックを実行すべきである事は判断できたでしょう。また、この段階でJPCERT/CCが無償で提供しているEmoCheckを掛けていれば1日目で感染端末の特定までできていますね。感染端末の特定にログ解析は必要ないですし、即日結果が判りますので。
ここら辺、外部の協力を得て対応したのか、自力で対応したのか判らないですが、いずれにしても初動に失敗している印象しかありません。
また、利用者への告知は(少なくとも初報を)即日行うべきであり、52日も経ってから、しかもマスコミによる報道がきっかけで行うのは非常に遅いですし、隠蔽しようとしたと言われても仕方ないことでしょう。実際、被害に遭った方から話を伺いましたが、団体からの適切な注意喚起はなく、詳細情報の提供や謝罪もなかったとのことです。これは完全に不適切な対応と言って良いでしょう。セキュリティ事故に於ける情報提供は迅速かつ詳細に行い、真摯に対応することが求められます。残念ながら日本の企業は隠蔽しがちなのですが、それでは企業・団体への信頼を失ってしまうことになります。
基本的にセキュリティ事故の対応は速やかに専門家の協力を仰ぐのが大切です。専門的知識を有する人間が社内にいる場合には、その人に任せるのも可能ではありますが、多くの中小企業や団体では専門的知識を有する人間は社内にいないでしょう。その場合、素人判断で対応を行うことにより初動の遅れ→被害の拡大という事態を招きがちです。告知の必要性から告知すべき内容まで含めて専門家の協力の下で対応するのがベストな対応と言えるでしょう。
あと、Emotetの被害に遭った企業での対応支援を行った体験から言うと、Emotetに感染したパソコンは1台であっても、Emotetに感染する可能性のあるパソコンは複数ある可能性があることも知っておいて欲しいところです。Emotetは最初にトロイの木馬と言われるウイルス(そのものは悪さをしない)に感染し、そのトロイの木馬がC&Cサーバーと通信を行うことで本体をダウンロードして実行します。ですので、トロイの木馬に感染しているパソコンがあれば、それが将来C&Cサーバーと通信を行い本体をダウンロードする可能性がゼロではないという事になります。対応支援を行った企業でもEmotetに感染したのは1台のみでしたが、トロイの木馬は複数のパソコンから発見されました。
このように、素人判断ではセキュリティ事故の対応は非常に難しくなっています。専門家の協力を仰ぐことが迅速な初動対応と事後処理に重要だという事を覚えて頂ければと思います。
最後に…
隠蔽は絶対にダメです。企業・団体の信頼を失います。