「日本企業に対するインシデント解説」インシデント対応における調査手法
インシデント対応における調査のプロセスの概要、各々のプロセスにおける重要なポイントおよび注意事項、PwCサイバーエンジニアリングチーム独自の調査方法と進め方について解説します。
日本企業に対するインシデント解説 インシデント対応における調査手法
前回は、インシデント対応における準備の重要性について、インシデント対応ライフサイクルや「ポリシー・プロセス、リソース、情報」の3要素を用いて説明しました。今回は、万全な準備を実施した後、実際にインシデントが検知された際に取るべき対応を解説します。PwCサイバーセキュリティエンジニアリングチーム(以下、PwC CSET)が過去に支援したインシデント対応の事例を交えて、特にインシデント対応における調査のプロセスの概要、各々のプロセスにおける重要なポイントおよび注意事項、PwC CSET独自の調査方法と進め方について解説します。
1.インシデント対応における調査の実情
前回紹介したインシデント対応ライフサイクル(図表1)の中で、最もイメージするのが難しいのは「分析」(以下、「調査」)のフェーズではないかと考えられます。侵害された機器の種類によって調査の手法が異なることや、目的に応じてさまざまな調査方針が存在しているため、標準化された調査手法およびプロセスの策定が難しいことが理由です。
例えば、端末やサーバーがマルウェアに感染した場合、マルウェアの解析作業が必要になるかもしれません。一方、情報漏えいの有無を調査する場合、デジタルフォレンジック調査を検討する必要があるかもしれません。さらに言えば、OSの種別によってもフォレンジック調査の方法は異なります。このような多岐にわたるインシデント対応の調査に必要なスキルを全て備えたチームを作ることは、企業にとって現実的ではありません。そのため、多くの企業では、インシデント対応における調査の業務を外部委託しています。
しかしながら、外部のセキュリティ専業ベンターに調査を依頼し、調査の内容と結果を記したレポートを読んでも、インシデントが発生した経緯・原因が明確に理解できない、調査項目の網羅性・調査範囲の妥当性および調査結果の正確性について提示された情報で問題ないか判断ができないなど、インシデントの調査に悩みを抱えている企業から相談を受けることは少なくありません。
2.手掛かりを特定するために‐調査開始の前に確認すべき3つのポイント
ではここからは、調査を意義のあるものにするために必要な手段を解説します。インシデントの発生を検知したら、最初の段階として、さまざまなところから事実を集め、各々の機器からログや情報を収集します。しかし、いざ調査をスタートしようとした際に何から着手すればよいかが分からず、作業を進められないというケースが多く見受けられます。加えて、インシデントに関する事実やログなどの情報を集めれば集めるほど、何を起点に調査を始めるべきかを決める上での「最初の手掛かり」を特定することが難しくなります。
PwC CSETの経験上、このような悪循環から脱出するためには、調査を始める前に最初の手掛かりを特定することが、調査成功の第一歩となります。この最初の手掛かりを特定するために、図表2に示した(1)~(3)の3つのポイントを確認することが推奨されます。
(1)調査の目的の明確化
まずは調査の目的を明確にしましょう。システム被害を最小限に抑えたい場合、調査の目的は、攻撃の手法を解明することや侵害経路を究明することなどになります。一方、ビジネスへの影響や企業のブランドに対するダメージを最小限に抑えたい場合、情報漏えいの有無を究明することを調査の第一の目的とすることも考えられます。また、複数の調査の目的を設定する場合には、目的の優先順位を決めた上で、図表2の(2)調査の範囲と(3)調査の方針を決定する必要があります。
PwC CSETが対応したインシデントの中に、侵害されたサーバーに顧客情報が保存されたサーバーを含んでいたため情報漏えいの可能性があるという、ランサムウェア感染の事例がありました。この場合、調査の目的として、情報漏えいの有無の調査を最優先とし、攻撃者が利用したランサムウェアの種類を究明することやランサムウェアがばらまかれた攻撃ルートを判明することについては、優先度を落として調査を行いました。
(2)調査の範囲の選定
適切な調査の範囲を選定することは、調査チームのリソースを最大限に活用するためのポイントとなります。調査においては「ログは無限、リソースは有限」という考え方を常に意識する必要があります。特にインデントの発生原因や侵害ルートが不明確な段階において、多数の調査対象から膨大なログを集める場合には、調査の範囲を絞ることが重要となります。インシデント対応における調査の範囲については、一般的に「空間的な範囲」と「時間的な範囲」の2つの観点に基づいて選定します。
空間的な範囲
空間的な範囲とは、攻撃を受けた端末を中心として侵害が及んでいる範囲となります。
外部インターネットからの不正アクセスによるインシデント対応の事例では、侵害ルートを究明することを調査の目的として設定し、最初に不正アクセスが発生した端末を特定しました。そして、外部インターネットから被害が発生した端末までのネットワークルート上のファイアウォールやルータおよびスイッチのトラフィックログ、さらに不正ログインに利用されたアカウントの認証ログを、このインシデントにおける空間的な範囲として定義し、調査を行いました。
時間的な範囲
空間的な範囲を決めた後に、各々の調査対象に対して、いつまでさかのぼってログを調査するかという、時間的な範囲を検討します。
APT(Advanced Persistent Threat)攻撃を受けたインシデント対応の事例では、侵害された端末を特定後、証拠保全を実施しました。そして、該当端末に保存するログ情報を全て抽出し、タイムラインを作成しました。しかし、該当端末の利用開始時点から証拠保全した時点までのイベント情報を入手したものの、全てのログを一つ一つ解析することは現実的ではありません。そのため、悪用されたアカウントを特定後、該当アカウントの初回ログイン日時から、インストールしたプログラムやコマンド実行履歴、そしてインターネットの回覧履歴のログを中心に調査し、最初の不正行為を特定することが賢明と判断し、図表3に示すように、最初の不正行為が発生した時点から証拠保全を実施した時点までを、このインシデントにおける時間的な調査範囲として定義しました。
(3)調査の方針の決定
調査の目的および範囲を明確にした後、どのような方針で調査を進めていくかを決定することが重要です。調査の手法とプロセスは、調査担当者の経験や得意分野および習慣などの要素によって、異なることが多々あります。特に、外部セキュリティベンダーに依頼をする際に、調査の方針について事前に合意していない場合、アサインされた調査担当者によって作業の品質が左右されてしまうこともあります。そのため、調査の基本的な方針や方向性を、事前に決めておくことが重要となります。
PwC CSETが過去に対応したランサムウェア感染のインシデントにおいては、まず調査の目的を情報漏えいの有無を確認することと明確化し、調査の範囲の選定も行いました。そして以下のように、調査の基本的な方針についてクライアントと合意しました。
- 内部調査に関する方針(フォレンジック調査):調査対象となるサーバーに対して、外部(インターネット)へ情報が持ち出される可能性がある全てのルートをフォレンジック調査します。
- 外部調査に関する方針(ダークウェブ調査):該当サーバーに関する情報からキーワードを抽出し、ダークウェブ上で売りに出されていないか、一定期間モニタリングを行います。
こうして目的を定め、範囲を明確にし、さらに方針を固めることで、何をどのように調査したらよいのかという手掛かりが見えてくるでしょう。
3.調査を行うにあたっての効果的なプロセス
最初の手掛かりを特定後、その手掛かりを起点として調査を進めていきます。そして、インシデントに関連する証拠を集めて、インシデント発生の経緯や侵害ルートおよび攻撃者が利用した手法を明らかにしていきます。しかし高度な攻撃を受けた場合、攻撃者が巧妙な手法を利用し、攻撃活動が一段落した際にログ情報や痕跡を削除するといったことが想定されます。この場合、フォレンジック調査だけでは十分な情報を得られない可能性が高まります。
特にAPT攻撃によるインシデント対応の場合、侵害されたシステムから長期間にわたって痕跡を検出し、大量の事実を集めても、攻撃手法の究明や情報漏えいの有無の確認といった、最終的な調査のゴールに至らない事例もあります。このような場合は、図表5のように、スレットインテリジェンス(脅威情報)の調査に基づいてフォレンジック調査を進めていくことを検討します。某攻撃グループが頻繁に利用するツールやコマンド&コントロール(C&C)サーバーなどの情報を得た場合、その攻撃グループの最近の動向や新たに利用したツールなどの脅威情報を調査します。さらに、その情報の痕跡が調査対象に存在するか、もう一度フォレンジック調査を実施します。このようなプロセスを通して、最終的な調査のゴールへと近づけていきます(図表5)。
PwC CSETが対応したAPT攻撃の事例では、まず、初期段階のフォレンジック調査で確認できた攻撃痕跡に基づいて、脅威情報の調査を実施します。次に、この調査で確認した結果をもとに、さらなる攻撃原因・ツールの調査を進めることを、このインシデントの調査プロセスとするという工夫を凝らしました。
次回は、インシデント発生時の社内コミュニケーション、広報戦略、ステークホルダーマネージメントなどについて紹介します。
日本企業に対するインシデント解説
4 results
Loading...
「日本企業に対するインシデント解説」インシデントに対する準備の重要性
インシデントに対応するための「準備」が万全に行われていない場合、インシデント発生からの回復力が低下する恐れがあります。インシデント対応の土台である準備段階で、何をどのように整備する必要があるかを解説します。
「日本企業に対するインシデント解説」サイバー攻撃者の攻撃手法とは
敵対国家、組織犯罪、ハクティビスト、破壊行為者というサイバー攻撃者の4分類それぞれの攻撃手法について、最新の事例と共に紹介します。
「日本企業に対するインシデント解説」サイバー攻撃者は何を目的に攻撃するか
サイバー攻撃への対策を実施するには、犯人像が分からなければ効果的な対策は困難です。攻撃者の分類や攻撃手法の紹介を通して、日本企業がどう対応していくべきかを考えます。今回は攻撃者を動機別に大きく4つに分類し、その手口を解説します。
Loading...
最新のサイバーセキュリティ&プライバシー コラム・対談
20 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(5)ブラジル
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
JC-STAR普及に向けた政府動向とSecure by Demandによる製造メーカーへの影響
2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。
Loading...
