ソリトンシステムズのサイバーセキュリティ第5回「理解されないデジタル・フォレンジック（前編）－お願いだから端末に触らないで！」

サイバー攻撃の調査、原因追及には、デジタル・フォレンジックが必要となる。特に監督官庁やステークホルダーへのインシデント報告に際しては、フォレンジックの専門家に調査を依頼し、事実関係を明らかにするのが一般的である。

昨今のインシデント増加によりフォレンジック調査や、それにともなう証拠保全が必要な場面も増えているが、こうしたインシデントの経験を持つ企業は、まだ少ないかもしれない。

デジタル・フォレンジックや不正調査支援サービスを展開する株式会社Ji2と、ソリトンシステムズは2014年に経営統合した。現在、ソリトングループとして両社は一丸となり、フォレンジック案件に取り組んでいるという。ソリトンシステムズ荒木氏に、昨今のフォレンジック事情について話をきいた。

●デジタル・フォレンジックは高い？

「セキュリティ製品だけでは真相が分からず迷宮入りしたインシデントであっても、メモリを解析し、削除されたファイルを復元するなどして、わずかな痕跡から攻撃の手口や事実関係をつまびらかにするフォレンジックは、まさに凄腕の医者による難易度の高い手術のようなものです。しかし、Ji2メンバーと一緒に案件に取り組むようになって、フォレンジックの必要性や価値が、充分にお客様にご理解いただけていないと感じることが増えました。

フォレンジック費用についても『何故こんなに高いのか？』とよく言われます。調査にはかなり工数もかかり、高い技術を駆使して行いますし、調査を進める過程でどのような問題が出てくるか分からないといった不確定要素もあるので、安価にお請けできない事情があるのですが、『高い』と言われるということは、こうした背景やフォレンジックの価値がまだまだご理解いただけていないのだろうと思っています。（荒木氏）」

●延焼していく火事をただ放置しなければならないジレンマ

企業におけるインシデント対応体制が不十分な場合、有事にフォレンジックを依頼するまで時間がかかる。よくある理由として、（１）経営層にフォレンジックの必要性を理解してもらえない、（２）予算確保が難しい、あるいは、相見積りや値引き交渉無しに発注できない、（３）フォレンジック調査でどこまで明らかにできるか、調査開始前にはっきりしない（不確定要素が多い）、などが挙げられるが、フォレンジック開始の遅れによって、後から取り返しのつかない事態になることも多いという。

「インシデント発生から1～2週間経過してからようやく調査させていただく案件も実は多いのです。侵入から数時間で、攻撃者はだいたい目的を完遂できますし、数日もあればADのデータをダンプし窃取したうえで証拠隠滅までできますから、私たちが調査を開始する時には、既にすべて終わった後で何も情報が残っていないということも珍しくありません。

すぐ予算を確保できない、経営層を説得できないなど、お客様の窮状は痛いほど分かるのですが、インシデントは火事と同じで、時間が経てば経つほど延焼するように状況が悪化し、調査も困難になっていきます。正式なご依頼をいただけないと私たちも作業開始できないため、じりじりと歯痒く思うしかありません。

これは私たちだけでなく、どこのフォレンジックベンダーも悩んでいらっしゃる共通の課題ではないでしょうか。インシデントは火事と同じで、スピーディな対応が肝心です。平時からこのことを多くの方に知っていただくよう、もっと私たちが努力をしなければいけないのだろうと思っています。（荒木氏）」

●証拠保全の知識不足による問題

こうした課題をクリアし、インシデント発生後ただちにフォレンジックベンダーに調査が依頼されたとしても、対象端末で自分なりの調査を試みたために、重要な証拠となる情報が無くなり、原因追及が難しくなる事案もあるという。

証拠保全については、デジタル・フォレンジック研究会から「証拠保全ガイドライン」が提供されているほか、各業界で啓蒙活動もなされているため、理解されている企業も多いだろう。しかし、インシデント発生時の現場の混乱の中では、なかなか教科書通りの対応がなされず、取り返しのつかない状況になってから調査を依頼されることも多いという。

● 『お願いだから、端末を触らないで！』

「端末が感染した・攻撃を受けたと分かると、IT管理者の方は焦って何かしようとなさることが多いのですが、もしフォレンジックを予定されているのであれば、ネットワークから切り離す（LANケーブルを抜く、無線をオフにする）以外は、端末の電源を切らず、『絶対に触らないで』いただきたいです。これは本当に、心からのお願いです。

端末の電源がオフにされると、メモリ情報が消えて、調査が非常に困難になります。さらにウイルス対策ソフトでフルスキャンしたりすると、重要な攻撃の痕跡がことごとく上書きされてしまいます。ただでさえ少ない情報が消えてしまうので、フォレンジック調査するなら端末を触っちゃいけないということを、どうかご理解いただきたいです。

ネットワークから切り離しても、攻撃者に侵入された端末をそのままにするのは気持ち悪いだろうとは思いますが、フォレンジックでインシデントの全容や事実関係を明らかにし、ステークホルダーに説明する義務があるならば、端末の電源を切ったり手探りで調査する前に、まず専門家にご相談ください。

最近ではメモリの調査を行わなければ分からない事案も増えてきており、ますます証拠保全の重要性が高まっています。私たちもお客様にご満足いただけるような調査結果を出したいと常に思っているのですが、手掛かりが消えてしまった状況では、いくら調査しても『これだけ頑張りましたが分かりませんでした』という結論になることもあります。
少しでもフォレンジックのことを知っていただき、こうした残念な事案が減ってくれればといつも思っています。（荒木氏）」

サイバー攻撃の増加に伴い、フォレンジックのニーズが増えている中、サービスを受ける側、つまり企業・組織のIT管理者にもフォレンジックの基礎知識が必要となりつつある。フォレンジックサービスを受ける側・提供する側の歩み寄りを目指すソリトングループの取り組みを、後編でさらに掘り下げてみたい。