セキュリティ事故対応における“オープンソース”活用法指南初動対応用データ保全ツール「CDIR Collector」解説(前編)(1/3 ページ)

本稿では、セキュリティインシデントへの初動対応に役立つツール「CDIR Collector」の活用方法について、実際に企業の現場でインシデント対応に携わる筆者が、自身の経験談を交えつつ解説します。

» 2016年09月14日 05時00分 公開

難しいセキュリティインシデントの初動対応

 外部からの不正アクセスによるウイルス感染、情報流出といったサイバー攻撃が、国内外で後を絶ちません。筆者は現在、企業のセキュリティインシデント(以降、インシデント)の発生原因や被害の詳細を特定するための「フォレンジック技術」を活用した調査に携わっていますが、被害PCを解析していてよく感じるのは、「組織がインシデントを認識した後の初動対応によって、有益な情報が消失しているケースが非常に多い」ということです。

 そこで筆者の所属するサイバーディフェンス研究所では、こうした初動対応における現状の課題を改善することを目的として、「CDIR Collector」というデータ保全ツールを開発し、オープンソースで公開しています。本稿では、実際のインシデントにおいて見受けられた初動対応例を紹介するとともに、CDIR Collectorの活用方法を解説します。

事例から見るインシデント発覚の経緯

 インシデント対応の体制を整えることを目的としたCSIRTが多くの組織で設立され始めています。その動きに対応して、インシデント対応の体制や考え方などを指南する資料なども既に各所で公開されています。そこで本稿では少し視点を変えて、実際の事例ベースでインシデントの発見や初動対応におけるポイントを紹介していきます。なお、ここで紹介するのは筆者が実際に経験したインシデントですので、対象企業の規模や業種、インシデントの内容などに偏りがある点はご了承ください。

 さて、まずインシデントの発覚についてですが、筆者の経験上、最も多いケースから順に3つ挙げると以下のようになります。

  1. 検知系の製品による発見
  2. 利用者からの申告
  3. 外部機関からの通知

 1は、ウイルス対策ソフトやゲートウェイ型の検知製品によって脅威を発見することができたケースです。2は、利用者が不審なファイルを実行してしまったことや、ファイルが開けない、ログインできないなどの異常に気付いたことで、インシデントが判明したケースです。3は主に攻撃者にコントロールされていたサーバ(C2)を調査した結果、被害組織が所有するIPアドレスからの通信があったため判明した、というケースです。

 これら以外のケースもありますが、大半は上記のいずれかに分類されるといってよいかと思います。このようなイベントがきっかけとなりインシデントが認識され、担当者は事態を解決するためのアクションを実行することになります。インシデントの発覚直後から事態が一時的に沈静化するまでを「一次対応」や「初動対応」と呼びますが、本稿では「初動対応」という表現を用います。

事例から見る初動対応時のアクション

 では、初動対応において、実際にはどのようなアクションがとられているのでしょうか。もちろんインシデントの内容やその組織の準備状況によって内容は大きく異なりますが、全般的に多く見られる初動対応の例を以下に示します。

  • 検知したファイルの駆除/隔離
  • 別のウイルス検知/駆除ツールの入手と実行
  • ウイルス対策ソフトのフルスキャン実行
  • 対象機器の再起動
  • 対象機器内のログやリソース状況の確認
  • 不審な通信先との通信遮断
  • ネットワークケーブルの取り外し
  • 対象機器の停止

 これらのうち、どのアクションがどのような順序で実行されるかはさまざまですが、個人的には上位に記載しているアクションほど優先的に実行される傾向があるように感じます。いずれもインシデントの発生原因の把握や被害の拡大を止める試みであり、これらのアクションが結果的に適切であったというケースはあります。

 しかし、インシデントの実態が根深く、上記のアクションだけでは事態が収拾できない、つまり被害が深刻な可能性があることが判明した場合、今後は逆に、上位に記載しているアクションほどその後の調査の大きな弊害となります

 特に、標的型攻撃に見られるような、「実は何カ月も前からマルウェアに感染していた」「他のPCも同様に侵入されている」といったことが判明した場合、初動対応時のアクションによって端末の状態が大きく変更してしまっており、詳細な調査をしたとしても原因や被害が明らかにならない可能性が高くなります。

 このような事態を防ぐためには、初動対応の選択肢に「対象機器のデータ保全」というアクションを入れ、早い段階で実施することが重要です。必要なデータが保全されていれば、事後の詳細な調査が必要な状況になったとしても、実態が明らかになる可能性が高くなるからです。

 とはいっても、そもそもインシデント発覚直後の影響範囲や深刻度合が把握できていない状況では、何をどれだけ保全すればよいかを判断することも難しく、また、保全作業にはそれなりの時間や事前の準備が必要ということもあるため、現実にはデータ保全というアクションが後回しになってしまっていることがよくあります。

 こんなとき、CDIR Collectorを使えば、簡単な手順でインシデント対応に有用なデータを保全することが可能です。それでは、CDIR Collectorの具体的な使い方を紹介していきます。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。