こんにちは、Recruit-CSIRT 猪野です。

この度、2017年の JPCERT/CC感謝状を受領しました。

JPCERT/CC 感謝状 2017
https://www.jpcert.or.jp/press/priz/2017/PR20170725-priz.html

CSIRTの活動の一環として、日本全体のセキュリティ対策の向上に貢献する活動を継続しているのですが、その取り組みが評価されたものとして本当に嬉しく思っています。

今回は我々の取り組みを話せる範囲でご紹介します。

昨年度の冬のことです。社内のハンティング活動の中でVirusTotalにもあがっていない稀有なマルウェアの検体を見つけました。

我々には被害はなかったのですが、この不思議なマルウェアについて詳細なマルウェア解析及びフォレンジック調査を実施した上で、JPCERT/CCに対してレポートとして情報提供しました。そこで判明したのが、このマルウェアは特定の団体をターゲットにした標的型攻撃に利用されたものだったと言うことです。

侵入当時、攻撃にはゼロデイが使われており、防御策としてパッチ適用するにもある程度時間がかかることが想定されました。

そこで我々はこの攻撃を確実に検知できるように新しいルールを開発、ネットワークやクライアントの監視網に投入し、即座に侵入を検知、対応できるようにしました。その甲斐もあって、再度攻撃が行われた際には即日検知、翌営業日には検体の入手にも成功し、JPCERTへ提供し、これを元にJPCERT/CCから早期警戒情報(https://www.jpcert.or.jp/wwinfo/)として注意喚起が発信されました。

我々の検体が元にインディケーター情報が発信され、他の企業を守るために利用されるのはCSIRT冥利に尽きます。

この攻撃者に対する我々の防御策はまだまだ続きます。ゼロディがあったソフトウェアに対する修正内容を分析し、他の攻撃のシナリオについても検討、さらに同じパターンでの攻撃のリスクを軽減するために 類似製品についても脆弱性の調査を実施しました。

この脆弱性周りの話は8月30日のITmediaのセミナーでRecruit Red Team所属、バグハンターとしても知られる西村がお話しする予定です。

https://itmedia.smartseminar.jp/public/application/add/1586

また、Recruit-CSIRTでは他にも様々な取り組みを行っています。

最近は減ってきましたが、Recruit-CSIRTのセキュリティオペレーションセンター（SOC）では毎月数件のウイルスアラートを検知しています。そのほとんどが、リクルートのクライアントのWebサイトが改ざんされ、エクスプロイットキットが埋め込まれ、そして、それに対して、当社の従業員がクライアントにアクセスするたびにアラートが発生しているのです。

これらのサイトの改ざん情報を一つ一つ解析し、JPCERTに連絡するということをやっていました。
いわば、我々のクライアントのサイトを直さなければ、クライアントだけでなく、その先にいる多くのカスタマーもリスクにさらされる事になってしまう。インターネットのサービス事業者として、そういう使命感を持って活動しています。

これらの活動の甲斐もあって、国内におけるサイバーセキュリティインシデントの被害の低減に大きく貢献したとして感謝状をいただきました。私自身、インシデントを通じて、JPCERT/CCの日頃の活動にふれることができ、なんて頼りになる組織なのだろうと感銘を受けたのが一番良い経験となりました。

コーディネーション力で日本のセキュリティ力を向上させる困った時の力持ち。
サイバーインシデントがなくなるその日まで、JPCERT/CC！これからもよろしくお願いします。

関連：JPCERT/CC
https://www.jpcert.or.jp/