三豊市の標的型攻撃対策、全国の自治体に先駆けて「Cybereason」導入のワケ

　インシデントが発生したのは2016年6月21日16時半ごろである。三豊市の情報システム担当者に香川県警から連絡が入り、同市の運営するサーバのIPアドレスがサイバー攻撃を実行するC＆Cサーバ※に登録されているという情報がもたらされた。同市はすぐにインターネットとの接続を遮断して被害状況の確認に追われた。

　「オンプレミスで運用していたプロキシサーバやメールサーバのログを必死になって解析し、夜中の3時ごろにようやくウイルスに感染した4台のPCを特定できました。メール添付ファイルを開くことで感染する『ばらまき型メール』と呼ばれるタイプのマルウェアで、発覚する2週間前に感染し、約1週間ほど情報が抜き取られていました」と語るのは、同市情報システム担当、北岡千宙氏である。

　同市では住民の個人情報を扱うマイナンバーや住基ネットと接続する端末は、インターネットとは隔離された専用ネットワークで運用しているので、これらのシステムでは情報漏えいは起こらなかった。ウイルス感染した4台のPCを回収しハードディスク内を調べた結果、こちらも被害は確認されなかった。しかし、これでインシデント対応が収束したわけではない。

約700台のPCとオンプレ運用サーバをすべて初期化

「市で管理しているサーバやPCにウイルスが残っていないかどうか、確認する方法はなかったので、すべて初期化するという対応を取らざるを得ませんでした。まずWebサーバとメールサーバを初期化して復旧できたのが2週間後、その後市の職員と公立学校の教員用に配布している約700台のPCの検疫作業に追われ、2カ月後の8月末にようやく対応が完了しました」（北岡氏）

　この間、Webサーバが止まっていた期間は市のWebサイトが閲覧できない状態が続き市民サービスが低下した。メールが使えない期間では、外部業者などとの情報交換は記録メディアを持参してもらうほか、県への報告のために市職員がわざわざ県庁まで車で移動するといった不便も余儀なくされた。幸い情報漏えいにはつながらなかったが、同市のこうむった被害は小さいものではなかった。

　多くの企業や自治体と同様に、同市でもセキュリティ対策としてウイルス対策ソフトをPCにインストールしており、今回のマルウェアも検知はしていたのだが、検知可能になる以前に一部のPCで感染が発生してしまい、駆除や隔離も効かなかったという。ウイルスの侵入を検知するソリューションを一刻も早く導入する必要があった。

ウイルス対策ソフトに代わるセキュリティ・ソリューション

「24時間365日デバイスを監視するSOCを検討したのですが、いずれもオンプレミス型のソリューションで、ネットワークのセグメントごとにセンサーとコントローラーを設置する必要がありました。システムの復旧作業に追われている中で、こうした新しいソリューションの導入作業を並行して行う余裕はありません。そんな時、香川県の担当者から紹介されたのが『Cybereason』でした」（北岡氏）

　無償で提供される2カ月の検証期間を利用して「Cybereason」の動作検証を実施したところ、まず導入の容易さが他の製品と大きく違っていた。Windows Active Directoryなどで提供される一括インストール機能を利用して導入したいPCにエージェントを配布すれば、すぐに運用を始められる。このエージェントは端末の挙動を記録した非常に小さなログデータをクラウド上にある「Cybereason」の管理サーバに送信する。ウイルス感染を疑わせる怪しい挙動を分析・検知するのはクラウドサービスなので、PCの挙動が不安定になったり、動作が遅延することはないという。

「約700台のPCへ一気に『Cybereason』のエージェントをインストールしましたが、トラブルは発生しませんでした。運用開始後も、利用者からPCの挙動に関してクレームは聞いていません。エージェントがインストールされていることすら気づいていないと思います」（北岡氏）

　運用を開始した当初はかなりの頻度でアラートメールが送信されたという。しかしそれらは市側で許容した特定のスクリプトだったので、「Cybereason」が検知するごとに「除外リスト」に登録していくことで、現在ではほとんどアラートは上がらなくなった。そして、この作業を通じて「Cybereason」がネットワーク内の端末で動作するプロセスを常時監視して、その振る舞いを確実に追跡できていることを確信できたという。

「Cybereason」の採用と今後の展開

　監視対象のPCで発生する怪しい挙動を補足する能力に加え、「Cybereason」はアイコン化された管理ツールの表現力も評価したと北岡氏は指摘する。「どのPC上で動くプロセスが何に接続しているかといった情報が視覚的に表現されて、とても見やすい印象を受けました」。サーバログを手動で解析する手間と比べ、「Cybereason」では感染したPCを特定するのも、どのような攻撃を仕掛けようとしているのかも、すべて管理画面から一目で把握できる。


　多くの自治体では情報システム担当者のリソースは限られているため、導入や運用管理に負荷の小さい「Cybereason」のようなクラウド型ソリューションは有望な選択肢になる。特にログ解析など専門アナリストでなければ対応できない作業をサービスとして提供するソリューションは、今後のエンドポイントセキュリティ製品のトレンドとなるだろう。

※本記事は2017年3月時点の情報です。