ネットワーク隔離PCからUSBメモリを介して情報を窃取する手口を確認、警察庁とJPCERT/CCが注意喚起

　外部ネットワークと隔離されたPC内のデータが、USBストレージを介して窃取されるサイバー攻撃の手口を確認したとして、警察庁と一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）が注意を喚起している。

　警察庁によれば、企業では、重要な機密情報については、外部ネットワークから隔離されたネットワーク内に保存する方法が普及している。この手口は、こうした隔離PCとのデータのやり取りにUSBメモリなどが使われることに着目したものだ。業務で隔離PCからデータを移動・コピーしたUSBストレージを、インターネットに接続されたPCにつなぐと、そのデータが窃取される。

　実際には、まずインターネット接続PCをマルウェアに感染させる。そのPCにUSBストレージが接続されると、不正なプログラムが自動的に起動してUSBストレージ内のファイル一覧を作成してPC内に保存する。攻撃者は、このファイル一覧をインターネット経由で取得。標的とするファイルを選び出したリストを感染PCに送信すると、不正プログラムがUSBストレージ内の該当ファイルを圧縮して感染PCに保存する。圧縮された標的ファイルは、マルウェアに感染させた同じネットワーク内の別のファイル送信用PCに送られ、分割した上で外部へ送信されるという。ネットワーク内にマルウェア感染PCが複数存在する場合は、圧縮ファイルは送信用PCに集約された上でまとめて送信される。

　警察庁では、PCの「C:intellogs」または「C:Windowssystem32」内に、1)「intelUPD.exe」「intelu.exe」「IgfxService.exe」といった正規の実行ファイル名に類似した名前の実行ファイル、2)「interad.log」「slog.log」といった不正なファイル、3)使用していない「RAR」形式のファイルがないか確認することを推奨している。

　また、機密性の高い情報の暗号化や、USBストレージ内の不要データの消去、不要な端末間通信の無効化といった情報漏えい対策の実施を推奨している。

　このほか、OSやアプリの最新版への更新、ウイルス対策ソフトの導入やファイアウォール設定の見直しといった一般的な措置の実施、プロキシログの監視、侵入検知システム（IDS）、侵入予防システム（IPS）の導入などの検討も促している。

　JPCERT/CCでは、プロキシログの監視方法についてのドキュメント「高度サイバー攻撃への対処におけるログの活用と分析方法」を公開している。