ネクストリード株式会社

コラム

【すごいぞNRAS!】ユーザーが認識していない VPN ソフトが端末に存在していた際の対応事例

NRAS
クラウドセキュリティ

こんにちは。
皆さまは「自分で入れた覚えのないソフト」が、いつの間にか会社の PC に入っていた経験はありませんか?
私たちセキュリティアナリストは、日々さまざまなセキュリティアラートの分析に携わっています。その中でも「自分で入れた覚えのないソフトが、いつの間にか端末に存在している」ケースは、現場では珍しくありません。
今回は、実際にお客様の端末上で検知された不審な無料 VPN ソフトを例に、なぜ注意が必要だったのか、弊社としてどのような対応を行ったのかを事例としてご紹介いたします。

 

■ 3つのポイント

今回の事例のポイントは、主に以下の3つです。

① ユーザーの認識外で VPN ソフトがインストールされていた

無料 VPN ソフトは、通信が外部サーバを経由する特性上、情報漏えいや不審な通信のリスクを伴う可能性があります。さらに、他のソフトと同時にインストールされるケースもあり、利用者が認識しないまま端末に存在することも少なくありません。その結果、気づかないうちに社内情報が外部へ送信される可能性があり、企業にとって重大なセキュリティリスクとなります。

 

② ユーザー操作を契機に無料 VPN ソフトがサイレント起動していた

ユーザー本人の操作を契機に、explorer.exe 配下で無料 VPN ソフトがバックグラウンド起動していました。見た目は通常操作に見える一方、内部では不審な処理が進行していました。

 

③ 不審なファイルは実行前に Microsoft Defender により検知・検疫されていた

無料 VPN ソフト配下で .NET アセンブリのメモリ直接読み込みと不審ファイル生成が確認されましたが、当該ファイルは実行前に検知・検疫されました。子プロセスの追加生成や関連する追加アラートも確認されず、感染成立を示す事実も確認されませんでした。

 

■ 何がおこったか

お客様の端末で、無料 VPN ソフトに起因する不審挙動を Microsoft Defender が検知しました。

プロセスツリー上は、smss.exe -> winlogon.exe -> userinit.exe -> explorer.exe という正常な Windows ログオンフローに連なる形で観測され、ユーザー操作を起点とした実行であることが想定されました。

一方で、explorer.exe 配下でサイレント起動した無料 VPN ソフトの内部では、.NET アセンブリのメモリ直接読み込みと不審ファイル生成が確認されました。このため、通常利用だけでは説明しにくい挙動として、ユーザー意図との整合確認が必要と判断しました。 なお、幸いにも不審ファイルは実行前に検知・検疫されており、感染成立、追加の子プロセス生成、他アラートの連鎖は確認されませんでした。

調査の過程でユーザー本人に確認したところ、「当該ソフトをインストールした認識はない」との回答が得られました。さらにインストール履歴の確認で、約 1 年前に導入された痕跡があり、過去の抱き合わせインストールや意図しない導入の可能性が考えられました。

その後、お客様にて当該ソフトのアンインストールと端末全体のフルスキャンを実施いただき、問題がないことを確認しました。以上より、本件は実害未確認の事象としてクローズしています。

 

■ NRAS でできること

NRAS では、このような「見た目は通常操作だが内部挙動に不審点がある」ケースに対して、プロセスツリー、実行ファイルの挙動、検知結果を時系列で突き合わせ、感染成立の有無を評価します。

また、ユーザー確認と技術ログの整合を取りながら、過不足のない初動対応をご案内します。今回のように、通知による事実確認、不要ソフトの除去、フルスキャンまでを一連で実施することで、過剰対応を避けつつ安全性を担保できます。

 

 

本事例は、ユーザー操作を起点とした通常フローの中でも、不審な内部挙動が発生しうることを示したケースです。 一方で、Defender による実行前検知・検疫と迅速な確認対応により、感染成立を防いだ状態で収束できました。

不要ソフトの棚卸しと、グレーな挙動を早期に確認できる運用体制の維持が、再発防止に有効です。 同様の事象への備えとして、継続的な監視と初動支援の整備をご検討ください。

 

【サービス詳細】
NR Automate Security( NRAS)
https://nextread.co.jp/service-nras/

 

【関連記事】
「すごいぞ NRAS!対応事例のご紹介」シリーズ

・「LINEを入れただけ」のはずが?意図せず始まった常駐プログラムの動き
https://nextread.co.jp/column-casestudy/nr-automate-security05/

・ブラックリスト IP を起点とした不審アクセスへの対応事例
https://nextread.co.jp/column-casestudy/nr-automate-security04/

 

SHARE

BACK POST