はじめに
システムへの不正侵入・破壊やマルウェア感染などのサイバーセキュリティ・インシデント事案、起きないに越したことはありませんが、昨今「セキュリティ対策の心構えで大事なことは?」的な問いの答えには、きまって「インシデントは起こるものと心得よ」が一番にあげられています。いやな世の中ですね。
弊社では、インシデント対応サービスの1つとして、フォレンジック調査を行っています。イザというときのために、フォレンジック調査とはどんなものなのか、かんたんにご紹介したいと思います。
そもそもフォレンジック調査って何?
インシデントが発生した場合、SOCやCSIRTを中心に、まず、
- 何が起きたのか?
- どこで起きたのか?
の把握に努めることとなるでしょう。
その過程がある程度進み、「どうも〇〇さんが使っているパソコンからおかしな通信が出ているぞ」「Webサイトに自分達が作ったものでないファイルが置かれいてる・・・」というようなことが判明すれば、次は、
- 感染や不正侵入の原因はなにか?
- 影響範囲や被害規模はどれくらいか?
を調査することになります。
この調査において、感染が疑われるパソコンや侵入された可能性があるサーバーなどの データやログ を 保全 して 解析 することが、フォレンジック調査 です。
フォレンジック調査の流れは?
フォレンジック調査のプロセスは、大きく分けて次の2つとなります。
- 証拠保全
- 解析
証拠保全 では、調査結果が正確なものになるよう、調査対象のコンピュータやデバイスに記録された デジタルデータ を、可能な限り 早期 に、かつ 完全な状態 で保存することが重要です。保存作業では、ディスクを完全に複製する 物理イメージコピー や、 メモリダンプ といった方法が理想的です。ファイアウォールやルーターなど各種通信機器の ログ についても保全対象です。そして、保全したデータを 解析 するプロセスでは、インシデントの原因解明や影響範囲・被害を特定するために必要な証拠を収集し、それらを評価して詳細に分析します。
状況によっては、解析で重要となる 最小限のデータやログ のみをコピーして、外部記録メディアなどへ保存する方法もあります。緊急性の高いインシデント では、この方法により、迅速 に調査を進めることが推奨されます。このように、完全性や網羅性をある程度犠牲にしても、調査のスピードを重視する証拠保全・解析の手法は、昨今多発しているランサムウェアのような緊急かつ重大インシデントの調査に適しており、 ファストフォレンジック と呼ばれています。
それに対し、ある程度時間をかけて調査できる場合や、ファストフォレンジックに引き続いてさらに深く調査するような場合など、物理イメージコピーやメモリダンプを対象として行う詳細な調査は、フルフォレンジック と呼ばれています。
ファストフォレンジックは簡単?
ファストフォレンジックは、Windows OSのコンピューターを対象とする場合、各種システムファイルを保存して解析します。対象となるシステムファイルは、
- イベントログ
- レジストリ
- プリフェッチファイル
- NTFSシステムファイル(MFT、USNジャーナル)
などになります。システム運用やインフラ担当の方でも、なかなか普段の業務では注目することが少ないかもしれません。また、これらのシステムファイルは、例えばWebサーバーのアクセスログのように、テキストベースで簡単に可視化できるものでもありません。このように、ファストフォレンジックといっても、解析に必要なスキルを修得するには、ある程度の学習とトレーニングが必要となります。
しかし、ファストフォレンジックの 証拠保全プロセス については、弊社が無償提供している CDIR-C などの収集ツールを使えば、比較的安全かつ簡単に実施することが可能です。ぜひ、イザというときに備えて、弊社公式サイトからダウンロードしていただき、使い方(ほぼダブルクリックするだけですが・・・)を練習しておいていただければと思います。システムファイルは、時間経過とともに内容の変更・消去がどんどん進んでしまいますので、お客さまサイドで迅速に証拠保全を行っていただければ、その後の調査の効率や正確性が高まります。
また、弊社では INFINITY CHAMBER というオンライン自学自習プラットフォームを提供していますが、学習コースの AXDF および AXD2 では、ファストフォレンジックの手法(証拠保全および解析)やCDIR-C(保全ツール)/CDIR-A(解析ツール)の使用方法を含め、インシデント対応全般の学習とハンズオントレーニングを学ぶことができます。ご興味あれば、弊社公式サイトよりお問い合わせ下さい。
フォレンジック調査を依頼するときはどうすればいい?
不幸にもインシデントが発生してしまった場合、まずは内部での連絡調整やエスカレーションで忙殺されることと思いますが、できるだけ早い段階で証拠保全を行うことが肝心です。弊社のような調査会社へ早期にご連絡いただき、お客さまサイドで実施可能な証拠保全の範囲や方法についてご相談ください。
調査の費用や期間は、調査対象となるコンピューターの台数・データ容量・用途や機能の特殊性有無などによって変動します。お客さまサイドでトリアージ(優先付け)を行っていただき、調査対象となりそうな各コンピューターのシステム情報についてお知らせいただければ、スムーズにお見積りをすることができます。また、ネットワーク構成図など、侵害されたシステム全体に関する情報を提供いただければ、調査対象範囲や証拠保全時の留意点などについて、さらに細かい助言を行うことも可能です。
おわりに
インシデント対応におけるフォレンジック調査は、原因や影響範囲を特定して、被害拡大を防止し、また再発防止に資するセキュリティ対策の構築に必須の工程です。そんな日が来ないことを祈りつつ(軽微なものであればセキュリティの穴が見つかる、よい? 機会でもあるのですが・・・)、イザというときを想定して、行動計画を練っておきましょう。