同センターが提供する「サイバー119サービス」は、被害を受けた組織の初動対応からフォレンジックなど、収束宣言までに必要とされるあらゆる活動を多方面で高度に支援する。
窓口は24時間365日体制、センターのメンバーが専用携帯電話を肌身離さず持ち歩いていることは本誌がかつて取材した記事の通りだ。
2018年は年間約300件のインシデントに対応。年間営業日は約260日だから毎日1件以上ということだ。2009年のサービス開始から取材実施の2019年9月下旬まで実に2,000件以上の対応実績を誇る(同種のサービスを行っている会社のなかで対応実績を公表しているのはラックのみ)。
今回本誌は8年ぶりにサイバー救急センター取材の機会を得た。サイバー救急センター センター長 鷲尾 浩之 氏と、同センター フォレンジックサービスグループ グループマネジャーの佐藤 敦 氏にサイバー救急センターの仕事と、同社が2019年8月から提供開始したマネージドEDRサービスについて話を聞いた。
サイバー救急センター フォレンジックサービスグループ グループマネジャー 佐藤 敦 氏(左)
救急センターへの電話相談で重要視するのは「先入観を捨てる」こと
鷲尾氏は、「インシデント対応支援は2006年ころから個別事例があり、これをサービス化したのが『サイバー119サービス』」と説明する。
寄せられる相談は、不特定多数にばらまかれるマルウェアの感染から、メディアで報道されるような大規模インシデントまで多岐にわたる。相談電話に出る時に心がけていることについて、佐藤氏は「先入観のフィルターを外すこと」だと語った。
「『こういうインシデントが起こりましたので、この端末を調べて下さい』お客様はインシデントについて自分自身のフィルターや先入観でお話をすることが多い。そこで私たちがそのフィルターをとって全体像をちゃんと聞き取らないと、攻撃者の本当の狙いが見えなくなることがある(佐藤氏)」
たとえばお客様は「ランサムウェアが見つかりました」と言った場合でも、それが一般的なメイン目的である『身代金の脅迫』というインシデントの場合もあれば、『標的型攻撃による情報流出の証拠隠滅』のためにランサムウェア攻撃が実施されている場合など異なる目的が存在することもある。
救急センターへの電話相談のやり方
一般企業にとってサイバー救急センターに電話するような事態はそうあることではない。ユーザー企業が利用する際の注意点を聞いてみると、佐藤氏は「とにかくすぐにご相談いただくのがよい」と即答する。
佐藤氏によれば、サイバー救急センターへの相談が多いのが金曜日の夕方や、ゴールデンウィークなど大型連休に入る前日だという。おそらく、それまでなんとか自力でインシデントに対応しようと頑張り、いよいよ対応ができないとなって万事休すとなり、電話をしたものと推測されるという。
「ITやセキュリティの担当者は真面目で誠実な方ばかり。自分たちでなんとかしようと頑張ってしまう」と佐藤氏は話す。しかし、初動対応で誤った対処をしてしまうと、場合によっては、攻撃の痕跡が消えてしまうケースもある。
こうした点を踏まえ、「自前のCSIRTを持っているレベルの組織以外は、何かあったらまずはすぐ電話で相談していただければ初動段階から支援が可能」と佐藤氏は語る。なお、調査に入るまでの電話相談は完全無料だ(たとえば実際にフォレンジック調査などを行う段階になってはじめて見積が示される)。
なお、センターへの相談の中には、時にサイバーとは関係ないものも寄せられるという。中には、サービスの対象外ではあるが、個人の利用者から「パソコンが故障した」という相談が寄せられることも。「じっくりお話を聞いたら相談者の方が落ち着いて、それで解決したケースも結構ある」と鷲尾氏は笑顔をまじえながら話してくれた。なお、こうした相談は年間300件のカウントには入っていない。
事案が大きいほど、攻撃手法に独自性がある
サイバー救急センターの陣容は、在籍する約50名のメンバーが「インシデントマネジメントグループ」「フォレンジックサービスグループ」に分かれている。
「インシデントマネジメントグループ」はユーザー企業から相談を受ける窓口機能を果たし、ヒアリングをもとに対応方針や調査実施を決定するなどのインシデントハンドリングを担い、「フォレンジックサービスグループ」は感染端末の実際の調査等を担う。
これまで印象に残った事案についてセンター長の鷲尾氏に尋ねると、「案件の具体的内容はセンター員以外は、社員間ですら共有できない完全な保秘事項」と前置きした上で、「やはり大きな事案は印象に残る。数十台から数百台規模で、攻撃の広さだけでなく、深さという意味でも、ネットワーク全体が攻撃されてしまっているような事案だ」と話した。
鷲尾氏によれば「事案が大きければ大きいほど攻撃手法に独自性がある」という。「大きな事案ほど特定の組織を標的にしており攻撃に独自性がある。そうしたインシデント対応の現場を多く踏むことで、メンバーとサービスが錬磨されていく」という。
EDRに求めたのは「LACのディスクフォレンジックサービスと同等の分析が行えること」
2019年10月現在、ラックがマネージドEDRサービスで取り扱うのは「Microsoft Defender ATP」と「CrowdStrike Falcon」の2製品だけだ。佐藤氏は「主要な10製品くらい検証を行ったが、残ったのがこの2製品だった」と振り返る。
選んだ際の基準は一つだけ。分析結果をきちんと出せるEDR製品であることだ。
「詳細な分析のためのデータをちゃんと記録してくれるEDR製品であること。すぐにレスポンスができること。そうでなければお客様にメリットがない」と佐藤氏は述べる。
鷲尾氏は、「EDR製品は成り立ちによって機能が異なる」と話す。「分析に必要な情報を記録してくれなかったり、分析者に優しくないインターフェースだったり、アンチウイルスの機能と隔離の機能だけでEDRと称している製品もあったりする」とのことだ。
EDR選定に際して、CrowdStrike製品の特長のひとつであるカーネルモード動作は「直接的な選定ポイントではなかった」という。これはカーネルモードでなければダメ、という決めつけで製品を選定したわけではない、という意味だ。調査を行うのに必要な情報がすべて収集できていることが重要で、結局そのためにはカーネルモードでないと取得できない情報があると佐藤氏は語った。
EDR導入済み企業でインシデントが起こったが・・・
近年、企業での導入が進むEDRだが、実際はコスト優先で導入を進めるケースも多い。インタビューでは、とある企業で発生したショッキングなエピソードが語られた。あるEDR製品を導入済みの企業でインシデントが発生し、ラックの「サイバー119サービス」が対応した。
さっそくEDR製品のデータにあたったが、情報が不足しており、結局、EDR製品等を導入していなかったケース同様、ディスクフォレンジックサービスを実施することになったという。しかも、そのEDR製品は「ネットで検索するとすぐにヒットするような有名ブランドの製品」だった。
マネージドEDRサービスで収集した情報を用いてフォレンジックを行えば、熟練エンジニアが手動で対応するフォレンジックと比べ、コスト面で約10分の1、調査期間は約3分の1になるという。ムダな投資を避け、コストや時間を圧縮するためにも、「調査の際に必要な情報が記録されていて、後から追跡調査が必要なときに、必要な情報が揃っている製品を選んで欲しい」と鷲尾氏は述べた。
製品のなかにはアラート近辺の1時間だけ、製品が怪しいと判断した時にだけ情報を取得するなどピンポイントで情報を記録する製品もあるという。「平時のときにも情報を取得、保管しておいて欲しい(鷲尾氏)」
ラックはベンダーニュートラルのサービスを提供する企業だ。マネージドEDRサービスの準備段階で検証した10の主要EDR製品のうち、「Microsoft Defender ATP」と「CrowdStrike Falcon」の2製品以外には、検証結果をもとに具体的ポイントを挙げて製品改善希望を出したという。一方でスクラッチから作り直した方がいいとすら佐藤氏が考えた製品もいくつか存在したという。
EDRを盛り上げたい
マネージドEDRサービスを「本当に盛り上げていきたい」最後に鷲尾センター長はこう語った。
「個人的にEDRというものにちょっとした思い入れがある」という鷲尾氏は、ラックでかなり以前にEDRサービスを自ら企画して立ち上げ、時期尚早でサービスとしては芽が出なかったという苦い経験を持つ。
その鷲尾氏が他部署を経て、この4月にサイバー救急センター長として赴任したとき、目の前にサービスインしたばかりの真新しいEDRサービスが待っていたことになる。
「EDRは『何かを検知する』『止める』『もし止められなくても調査に使える』という、三種の神器がそろったものすごいツール。インシデント対応により一層のスピードが求められる今こそ、EDRというツールの良さを広めていきたい(鷲尾氏)」と熱く抱負を語った。
ハヤブサを従えた鷲が、今まさに飛び立とうとしている。
