私は社内SEになって8年目になりますが、8年目にしてサイバー攻撃に遭いました。
幸いなことに、ランサムウェアなどデータを暗号化されたりはありませんが、一部のデータが削除されるなどの軽微な被害がありました。
この記事では、サイバー攻撃が発覚してからフォレンジック調査を依頼するまでにやることを紹介します。
サクッと読みたい人のための簡単解説
ログフォレンジック
- 外部から内部への侵入経路、内部から外部へのデータ流出、内部でのハッカー行動調査を把握するために活用する
- 活用するログは、FWやVPN、プロキシ、資産管理ツールなど様々。
ファストフォレンジック
- ツールを使用してPCやサーバ内部の各種データを抽出してフォレンジック調査を行う
- 抽出するデータはイベントログ、レジストリ、メモリダンプなどいろいろ。
- 永続化されているマルウェアの有無などを把握できるが、マルウェア自体の挙動は確認できない
フルフォレンジック
- ディスクイメージを活用してフォレンジックを行う。削除されたデータの復元などファストフォレンジックでは不可能な調査ができる。
- マルウェアの挙動確認やデータ流出調査には必須の工程。
- なかなか高額。1台200万円くらい。侵害された程度によって実施するかどうかの議論が必須になる。
プロセス
- 侵害された範囲の特定→被害状況の調査 という順に実施。
- 侵害範囲が不明なままフルフォレンジックを行い、対象が五月雨式に増えてしまうこともある。
システム復旧
- マルウェアが特定できている場合はシステム復旧=マルウェア駆除になるが、WindowsシステムのDLLなどに入り込んでいる場合は駆除が難しい。
- レジストリが変更されている場合はレジストリの復旧が必要になるが、侵害前のレジストリ情報が必要。
各種ログのエクスポート
まず最初にやることは、インターネット機器やサーバー系のログのエクスポートです。具体的には以下のようなログです。
- ファイヤーウォールログ
- VPNログ
- 資産管理ソフトウェアログ
- プロキシサーバーログ
- イベントログ
エクスポートする理由は、ログを保存可能な容量を超えた場合に、古いログから削除されるといったログ喪失をなくすためです。
資産管理ソフトウェアはPCで行われた操作やログインユーザーなど多くの情報を得ることができます。ハッカーの行動調査に役立ちますので、必ずエクスポートしておきましょう。
侵入経路の遮断
侵入経路が判明したらすぐに遮断しましょう。FWから侵入されたのであればインターネット回線の切断、VPNから侵入されたのであればVPNサービス停止、といった具合です。侵入に使用されたアカウントを無効化しても同じ経路で別のアカウントを使用して侵入を試みられますので、経路を遮断することが重要です。
被害を受けたPCやサーバーの保全
保全の方法は以下の通りです。
- 物理PCやサーバの場合、電源オフにして保管
- 仮想マシンの場合、イメージバックアップデータを保管
後述するファストフォレンジックやフルフォレンジックの対象になる可能性がありますので、被害を受けたことが確定したPCやサーバは保全しましょう。
保全とは具体的にどのようにするかというと、物理PCでは電源をオフにして保管するのが一番です。仮想マシンではイメージバックアップデータを保管しておくことが保全になります。
フォレンジック作業工程の確認と見積もり依頼
フォレンジック作業は、大きく分けて3つの工程があります。
- ログフォレンジック
- ファストフォレンジック
- フルフォレンジック
ログを読める人であればある程度作業できますが、フルフォレンジックなど高度な調査は難しいと思われます。まずはどのような作業工程があり、何が必要で、調査から何がわかるのかを整理しましょう。
ログフォレンジック
ログフォレンジックは、VPNやファイアウォール、プロキシ、資産管理ソフトウェア、ウィルス対策ソフトウェアなどのログを解析して、ハッカーがどこから侵入してきたのか、社内ネットワークの中でどのような行動をされたのかを調査する工程です。
この作業により、社内ネットワーク内のどのホストに侵入されたのか、どのファイルにアクセスされたのかを俯瞰的に解析することができます。
ファストフォレンジック
ファストフォレンジックとは、PCのイベントログ、ウェブ閲覧履歴、メモリダンプ、ファイルアクセス情報、レジストリなどの情報からサイバー攻撃の被害の痕跡が無いかを探る工程です。
ファストフォレンジックツールを使用してこれらのデータを抽出し、フォレンジック業者へ送付して調査してもらいます。
ファストフォレンジックツールはいろいろなものがあり、フォレンジック調査会社によって使用するツールが異なります。
ファストフォレンジックから分かるのは、マルウェアの存在確認やデータの閲覧状況です。
マルウェアが配置されるとOS起動時にマルウェアを起動させるため、レジストリやタスクスケジューラを変更します(これをマルウェアの永続化と言います)。ここから永続化されたマルウェアの存在を確認することはできますが、そのマルウェアがどのような動作をするのかは、ファストフォレンジックからはわかりません。
フルフォレンジック
フルフォレンジックは、ディスクイメージ全体を解析する作業です。ファストフォレンジックでは一部のデータからしか調査しませんが、フルフォレンジックではディスクイメージが調査対象になりますので、マルウェアの挙動解析や、削除されたデータの復元、外部へのデータ流出有無など、いろいろなことを調査することができます。
フルフォレンジックを発注するとかなり高額になりますし、期間も長くかかります。そのため、どのPCやサーバに対してフルフォレンジックを実施するか議論できるデータを取り揃えておくことが重要です。
具体的には、ファストフォレンジックの結果で既知のマルウェアしか発見されなかった場合、既知のマルウェアであれば挙動も駆除方法もわかっていますのでフルフォレンジックは実施しない、といった具合です。
フォレンジック作業の進め方
進め方については、まずはログフォレンジックから始めて被害の全体像を把握することが重要です。その後に、ファストフォレンジック・フルフォレンジックと調査を進めて被害状況の調査を進めていくことが望ましいと考えます。
ログフォレンジックやファストフォレンジックをおろそかにしてフルフォレンジックから進めた場合、侵害範囲が五月雨式に増えてしまい、フルフォレンジック対象がどんどん広がっていってしまうことがあります。こうなると費用も期間も無駄になりますので、必ず侵害範囲を調査してフルフォレンジック対象を議論して決定するようにしましょう。
ハッカーが何をしたか時系列で整理する
ログフォレンジックを進めていくと、ハッカーが何をしたか時系列に分かるようになりますので、これを整理しておくことが重要です。この情報は、社内のCIOや親会社などの関連企業、場合によってはマスコミへの公表材料に使用することができます。
報告
サイバー攻撃を受けたことを社内のCIOや親会社などの関連企業へ報告しましょう。あんまり言いたくないところもあるかもしれませんが、素直に報告しましょう。
他社との専用ネットワーク回線がある場合は、遮断を検討する
他社との専用ネットワーク回線がある場合は、そこから侵入されて被害が広がる可能性がありますので、回線を遮断することを検討しましょう。業務影響がとてつもなく大きくなることが予想できますが、サイバー攻撃の被害が増えることの方が問題ですので、被害を受けた可能性がゼロでなければ、回線遮断を検討しましょう。
フォレンジック調査の相見積もり
フォレンジック調査費用は基本的に高額ですが、それでも各社で差があるように感じました。
私はどの業者を第一候補にするかとても悩みました。このような作業は安かろう悪かろうでは困るからです。安心できるフォレンジック調査会社に依頼したいものですが、その判断がとても難しかったです。
最終的には、ファストフォレンジックツールの開発元という実績や、熱心に情報提供して頂ける会社が判断材料になりました。
システム復旧の工程の検討
システム復旧に向けた作業工程の検討を進めましょう。
システムを復旧させるためには、以下の検討が必要になります。
- システム全体的に脆弱性が改修されているか
- マルウェアが残っていないか
- セキュリティ向上のための施策を導入したか
具体的な作業としては、以下を進めていくことになります。
- ファームウェアバージョンアップ
- セキュリティパッチ適用
- OS最新化
- マルウェア駆除
- 多要素認証、MACアドレスによるPC固体認証
- EDRの導入
終わりに
フォレンジック調査はあくまでの被害の状況を把握するための作業ですので、フォレンジック調査をしたからといって脆弱性が解消されたりセキュリティが向上するわけではありません。それにフォレンジック作業はとっても高額です。フォレンジックを実施する目的を明確にすることが重要だと考えます。
コメント