今回は、マルウエア感染におけるインシデント対応を掘り下げる。紹介するのは、マルウエアの活動の痕跡を感染PCから探し出し、丹念につなげていく「デジタルフォレンジック」と呼ばれる手法だ。無償ツールを用いて手順を踏まえて進めれば、誰にでもできる。

 これまでの連載で、マルウエア(悪意のあるソフトウエア)に感染した場合におけるCSIRT(情報セキュリティインシデント対応チーム)のセキュリティ事故(インシデント)対応を解説してきました。

 どんな組織でも1次対応として「感染が疑わしいPCをネットワークから隔離すること」と「攻撃者が操るC&Cサーバーやマルウエア配布サイトといった通信先への通信を遮断すること」が必要だと述べました。

 さらに、感染経路、情報漏洩の有無などを短期間に調べる2次対応において、マルウエアをコードレベルから解析して影響範囲を特定するマルウエア解析の有効性にも触れました。

 マルウエア解析はマルウエアの動作を明らかにしますが、実際のマルウエアの活動の痕跡はPCに残っています。2次対応における取り組みの一つに、痕跡を使って、「誰(どのようなプログラム)が」「いつ」「何を」「どこに」「どうした」を詳細に調査する方法の一つとして「デジタルフォレンジック(コンピュータ鑑識)」があります。

 デジタルフォレンジックとは、第三者による不正アクセスや内部犯による機密情報の漏洩など、コンピュータに関する犯罪や法的紛争が生じた際に、電子的記録を収集・分析し、法的な証拠とするための技術や手続きの総称を指します。

 デジタルフォレンジックと聞くと訴訟や内部不正調査を連想され、重いものと思われるかもしれませんが、今回はマルウエア感染のインシデントにおける感染原因と影響範囲の調査に用途を限定します。デジタルフォレンジックを2次対応で実施するかどうかは、予算やデジタルフォレンジックを担当できるアナリストの稼働状況、インシデントの深刻度によって変わります。