イエラエセキュリティ CSIRT支援室第1回「インシデントが起こったら何をしておくと効果的か？」

　こんにちは、株式会社イエラエセキュリティフォレンジック課WDです。

　今回は川口さんとの対談の際に取り上げられた、「インシデントが起こったら何をしておくと効果的か？」という内容のチェック項目についてピックアップします。

参考リンク：川口洋座談会シリーズ「デジタルフォレンジック調査の実態と今後の抱負」

●インシデントとは？

　インシデント(incident)はもともと英語で「事件」や「出来事」を指し示す言葉です。この記事の中では、PCやサーバなどIT機器を利用した際に生じるセキュリティインシデントのことを取り扱います。特にウイルス感染などのセキュリティ事故や、内部不正などによるセキュリティ事故などのことを指します。

●よくあるインシデントと要望

　以下はよくあるインシデントと要望の一例です。

■サイバー系

・サーバで意図しない挙動が確認され原因がわからないので調査したい。

・サーバが攻撃され脆弱性を突かれて意図しない挙動が行われた。何が行われたのかを確認したい。

・マルウェア/ウイルスのアラートが上がり、どういった対応をすればいいのかわからない。本当に影響がないのか確認したい。

・社外の人間から見えてはいけない情報が見えているとの通報があったので、事実確認をしたい。……etc

■内部不正系

・退職予定のある社員が顧客名簿や営利機密を持ち出したかどうか確認したい。

・社員に横領/不正取引/過労/不就労などの疑いがあり、事実確認をしたい。

・取引の契約書などが改ざんされている疑いがあるので、調査したい。

・ハラスメントが行われているとの訴えがあったので、事実確認をしたい。

・社員がテレワークなど、PC上で何を行っているのか不明だ。調査したい。……etc

　他にも、マルウェアなどが動いているがどのように封じ込めしたらいいかわからない、海賊版ソフトウェアの運用での請求に対する調査など、インシデント対応補助や電子機器が関連する訴訟の際のデータの取り扱いも要望としては多くあります。

●インシデント発生時にやってしまいがちなこと

　自分の足跡で地面の犯人の足跡を消してしまうように、インシデントによっては原因の究明や情報漏洩の重要な痕跡を失ってしまうこともあるため、対応にも注意が必要です。

　インシデントの状況によっては、必ずしも守れるわけではないですが、少し頭の隅にいれておくだけでも、その後の展開に重要な役割を果たすことにつながるのでご参考になればと思います。

●よくあるやってしまいがちなパターン

1．マルウェア（ウイルス）や改ざんファイルを削除してしまう

2．ログローテーションや対応に時間がかかって侵害時のログが消去されてしまう

3．パソコンの電源を切ってしまう

4．フォーマットや漏洩可能性のあるファイルの削除などをしてしまう

5．外部調査を依頼する前に内部調査を試みて調査に必要な情報を上書きしてしまう

6．OSが破損や削除されていたので再インストールしてしまう

などなど

　原因の究明や、内部不正の痕跡の発見、情報漏洩などをフォレンジック調査するにあたって重要なのが「手がかりとなる情報がどれだけあるか」につきます。

　調査対象となる情報が少なかったり、インシデント対応によって意図せずインシデント発生時の情報が失われてしまうと、詳細な結果を得ることにより時間がかかったり、目的に応じた結果を得ることができなくなってしまいます。

　具体的な原因が究明できないと再発防止によりコストがかかったり、詳細な原因究明が的確に行えず対外的な発表にも信頼性を書いてしまうことにつながります。

　また、内部不正の場合には外部委託の前に内部調査を行うことによって、訴訟などに発展した場合に不利になる可能性があります。

●逆に、これをしていると有効な場合あり！

　情報の消失をできるだけ回避すべきですので、情報を残すということを念頭に持っていただくとわかりやすいと思います。リアルタイムで侵害が広がっているような状況では、やむを得ない場合もありますので、対応についてはトレードオフと考えてください。

※一方で、内部不正等の場合にはデータ収集の際から、証拠性の保持のために同一性の保持や手続き、第三者性が重要視される場合があります。その場合には極力端末に触れず内部の情報が書き変わらないようにしてください。

●インシデント発生の際に考慮すべきこと

1．インシデントが発覚した時間と、その際に対応したことをメモしておく

2．仮想環境やサーバ環境であればバックアップから復元する前にスナップショットを取っておく

3．電源が入っている場合は電源を切らないようにしておく

4．起動中のプロセスやIP アドレスを確認してスマートフォンなどで写真を取っておく

5．Windows ならイベントログ（特にセキュリティイベントログ）、Linux であれば /var/log などの各種ログファイルを外付けHDDなどにコピーしておく（コピー前にタイムスタンプをメモしておくとベスト）

6．マルウェアの場合は検体（隔離したマルウェア本体）を外付けHDDなどにコピーしたり、アンチウイルスソフトのアラート（検出結果）をスクリーンショットや写真で取っておく

7．その他セキュリティ製品やネットワーク機器のログを外付けHDDなどに保存しておく

8．Mac端末であれば、TimeMachineの同期を実行し、ディスクを別途保管しておく

●まとめ

　「そもそもどうしていいかわからない」や、「自力では限界だ」となった場合は、イエラエセキュリティなどの専門の業者に連絡することで一番効果が高くなると思います。

　今後も使えそうなTipsなどがあれば更新する予定ですので、今回は簡単になりますが、少しでもご参考になれば幸いです。

（連載「イエラエセキュリティ CSIRT支援室」は、「診断業界の切り込み隊長」として存在感を発揮する株式会社イエラエセキュリティの公式ブログ「SECURITY BLOG」から、創造力あふれるイエラエセキュリティの診断の秘密に迫る記事を厳選して掲載しています）