こんにちは。
今回は表題の通り、ちょっとドキッとする内容をお届けしようと考えています。
あなたは、社外からマルウェアの感染を指摘された場合、どのように動くべきかということを考えたことはありますか?

私自身社内ではこのような状況に陥ったことは、幸いにも今まではないのですが、見かけたことならばあります。

簡単にいうと、こんな感じ

ある日メール配信を行ったところ、配信先のアドレスの一つから、メール送信の直後に請求書という名前でマルウェアを含んだ添付ファイルが届き、さらにメールを送信した直後に海外からサイトへのアクセスが集中しました。このことから、そのアドレスを読んでいるPCがマルウェアに感染してしまっている可能性に思い至りました。ただ、これは外部だからこそわかる結果であって、内部ではわからない場合もあります。

私が見かけたときのものは原因のパソコンが内部にあるものとは言い難い可能性が大きかったのですが、そのあたりも含めてお話をさせていただきます。

感染の可能性を指摘されたときにすべきこと

マルウェア感染の可能性に思い至った際に私が実際に行ったことは、そのアドレスの会社さんに「特定のメールを読むことができるパソコンで、マルウェアに感染している恐れがあるものがあると思われます」という情報をお伝えしました。逆の立場で、私がこうした連絡を受けたとすれば、まずは切り分けから行います。

また、今回は切り分けから行うことが最善としていますが、一番の目的は「被害を拡大させないこと」です。何かインシデントが発生したときには、この部分を最優先にする必要があります。

1, 通報の内容を確認する

まず、通報の内容を確認します。今回の場合は、特定のメールアドレス宛にメールを送ったところ、そのメールアドレスからマルウェアが届いたということと、同時に海外からのアクセスが急激に増えたという情報です。
このため、まずこの「特定のメールアドレス」にアクセスできるパソコンが感染していると仮定します。

2, 感染しているパソコンの絞り込みを行う

感染しているパソコンの絞り込みは、今回のケースではその「特定のメールアドレス」を読むことができるパソコンで行います。
この場合、注意すべき点は「特定のメールアドレス」にアクセスできるパソコンが社内のみであるか、否かということです。
もし、メールアカウントが社外からもアクセスできる状態である場合、会社の情シス担当のあずかり知らぬところで、ウィルスに感染しているパソコンが会社のメールアカウントにアクセスしている可能性を考えなくてはなりません。

3, 【社内の場合】絞り込んだパソコンをネットワークから切り離す

ある程度予測がついたところで、該当のパソコンはすべてネットワークから切り離します。
一番大切なことは、それ以上被害を拡大させないことであり、ウイルスに感染しているパソコンがあると思われる場合には、ネットワークから切り離せた時に初めて被害が拡大しない状態に持って行けたと言えます。

4, 【社外の場合】インターネットからのメールアカウントへのアクセスを遮断する

業務のために、BYODなどでスマホからも見られるようにしているという場合、クラウドサービスなどを利用していないとメールソフトに設定をして読む状態になっていると思われます。

この状態にある場合、つまり「自宅のPC」に設定をすることもできる状態で、スマートフォンからのアクセスだけが来ているとは限りません。
その場合、ウイルスの感染リスクはスマートフォンだけである場合と比較して格段に跳ね上がると考えてよいでしょう。

一時的にスタッフに不便を強いることになるかもしれませんが、この場合はまず社外からのアクセスのすべてを遮断すべきです。
遮断さえしてしまえば、すくなくともそれ以上の情報がマルウェアにもっていかれることはなくなります。

5, 実際の被害を調査する

端末の特定ができた場合、実際の被害としてなにがあったかを調査します。
それに関連した問い合わせが来ていなかったか、自社のメールサーバーを利用して詐欺メールなどを送信されていないか等、ログを追える範囲のすべてを確認します。

今回の場合、私は社外のパソコンの可能性が高かったと考えています。
理由は複数あるのですが、一番大きな理由はその会社さんがそもそも社内のPCに関してマルウェア等の対策を何も行っていないとはとても思えない業種だったからです。
しかし、そのように社内のセキュリティは担保していても、私たちがお客様とお話をしている中で「セキュリティよりも利便性をとって、社外からのアクセスはすべて許可している」という会社さんが多くあることも知っています。
このような状況になると、自社ではあずかり知らぬところでインシデントが発生してしまうのです。

この仮説通りに原因となるパソコンが社外にあった場合、その端末にどんなアドレスが設定されていたのかという情報を元に、サプライチェーン攻撃などに発展していないか等の様々な確認をしていく必要があります。

ただ、社外のパソコンであった場合、おそらく追うことはほぼ不可能といっていいでしょう。

まとめ

どのような場合でも同じですが、何かインシデントが発生した場合に真っ先に行う事は「被害拡大を止める事」です。

起こってしまったことはなかったことにはできませんが、それ以上の拡大を止める事ならば可能です。

しかし、今回のようなケースを一人情シスで回している場合にはおそらく手は回らなくなり、最悪の場合は会社の信用問題にまで発展してしまうことでしょう。

そのような事態に陥る前に、自社のリスクアセスメントを行ってみてください。

メールリスク診断が簡単にできる

リモートメールの法人サービスのサイトで、たった数個の質問に答えるだけでメールに関するリスクアセスメントができるページを公開しております。
ご不安になった方は、ぜひお試しください。
リモートメール法人サービス メールリスク診断
https://biz.rmail.jp/sindan01.php